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出 版 说 明 


由 于 网 络 应 用 越 来 越 普及 ,信息 化 的 社会 已 经 呈现 出 越 来 越 广阔 的 前 景 ,可 以 表 定 地 说 ， 
在 未 来 的 社会 中 电子 支付 、 电 子 银 行 、 电 子 政务 以 及 多 方面 的 网 络 信 息 服务 将 深入 到 人 
类 生活 的 方方面面 。 同 时 , 随 之 面临 的 信息 安全 问题 也 日 益 突出 ,非法 访问 、 信 息 窃 取 、 
甚至 信息 犯罪 等 恶意 行为 导致 信息 的 严重 不 安全 。 信 息 安全 问题 已 由 原来 的 军事 国防 
领域 扩展 到 了 整个 社会 ,因此 社会 各 界 对 信息 安全 人 才 有 强烈 的 需求 。 

信息 安全 本 科 专 业 是 2000 年 以 来 结合 我 国 特色 开设 的 新 的 本 科 专 业 , 是 计算 机 、 
通信 ,数学 等 领域 的 交叉 学 科 , 主 要 研究 确保 信息 安全 的 科学 和 技术 。 自 专业 创办 以 
来 ,各 个 高 校 在 课程 设置 和 教材 研究 上 一 直 处 于 探索 阶段 。 但 各 高 校 由 于 本 身 专 业 设 
置 上 来 自 于 不 同 的 学 科 , 如 计算 机 、 通 信和 数学 等 ,在 课程 设置 上 也 没有 统一 的 指导 规 
范 ,在 课程 内 容 、 深 浅 程度 和 课程 衔接 上 ,存在 模糊 不 清 、 内 容重 倒 、 知 识 覆 盖 不 全 面 等 
现象 。 因 此 ,根据 信息 安全 类 专业 知识 体系 所 覆盖 的 知识 点 ,系统 地 研究 目前 信息 安全 
专业 教学 所 涉及 的 核心 技术 的 原理 ,实践 及 其 应 用 ,合理 规划 信息 安全 专业 的 核心 课 
程 , 在 此 基础 上 提出 适合 我 国信 息 安全 专业 教学 和 人 才 培 养 的 核心 课程 的 内 容 框架 和 
知识 体系 ,并 在 此 基础 上 设计 新 的 教学 模式 和 教学 方法 ,对 进一步 提高 国内 信息 安全 专 
业 的 教学 水 平和 质量 具有 重要 的 意义 。 

为 了 进一步 提高 国内 信息 安全 专业 课程 的 教学 水 平和 质量 ,培养 适应 社会 经 济 发 
展 需要 的 、 兼 具 研究 能 力 和 工程 能 力 的 高 质量 专业 技术 人 次 。 在 教育 部 相关 教学 指导 
委员 会 专家 的 指导 和 建议 下 ,清华 大 学 出 版 社 与 国内 多 所 重点 大 学 共同 对 我 国信 息 安 
全 人 才 培 养 的 课程 框架 和 知识 体系 ,以 及 实践 教学 内 容 进 行 了 深入 的 研究 ,并 在 该 基础 
上 形成 了 “信息 安全 人 才 需 求 与 专业 知识 体系 、 课 程 体系 的 研究 ”等 研究 报告 。 

本 系列 教材 是 在 课程 体系 的 研究 基础 上 总 结 、 完 善 而 成 ,力求 充分 体现 科学 性 、 先 
进 性 .工程 性 ,突出 专业 核心 课程 的 教材 ,兼顾 具有 专业 教学 特点 的 相关 基础 课程 教材 ， 
探索 具有 发 展 潜力 的 选修 课程 教材 ,满足 高 校 多 层次 教学 的 需要 。 

本 系列 教材 在 规划 过 程 中 体现 了 如 下 一 些 基 本 组 织 原则 和 特点 。 

(1) 反映 信息 安全 学 科 的 发 展 和 专业 教育 的 改革 ,适应 社会 对 信息 安全 人 才 的 培 
养 需 求 ,教材 内 容 坚持 基本 理论 的 扎实 和 清晰 ,反映 基本 理论 和 原理 的 综合 应 用 ,在 其 
基础 上 强调 工程 实践 环节 ,并 及 时 反映 教学 体系 的 调整 和 教学 内 容 的 更 新 。 

(2) 反映 教学 需要 ,促进 教学 发 展 。 教 材 要 适应 多 样 化 的 教学 需要 ,正确 把 握 教学 
内 容 和 课程 体系 的 改革 方向 ,在 选择 教材 内 容 和 编写 体系 时 注意 体现 素质 教育 、 创 新 能 
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力 与 实践 能 力 的 培养 ,为 学 生 知识 .能力 、 素 质 协 调 发 展 创造 条 件 。 

(3) 实施 精品 战略 ,突出 重点 。 规 划 教材 建设 把 重点 放 在 专业 核心 (基础 ?课程 的 教材 
建设 上 ; 特别 注意 选择 并 安排 一 部 分 原来 基础 比较 好 的 优秀 教材 或 讲义 修订 再 版 ,逐步 形 
成 精品 教材 ; 提倡 并 鼓励 编写 体现 工程 型 和 应 用 型 的 专业 教学 内 容 和 课程 体系 改革 成 果 的 
教材 。 

(4) 支持 一 纲 多 本 ,合理 配套 。 专 业 核心 课 和 相关 基础 课 的 教材 要 配套 ,同一 门 课程 可 
以 有 多 本 具有 各 自 内 容 特点 的 教材 。 处 理 好 教材 统一 性 与 多 样 化 ,基本 教材 与 辅助 教材 教 
学 参考 书 ,文字 教材 与 软件 教材 的 关系 ,实现 教材 系列 资源 的 配套 。 

(5) 依靠 专家 ,择优 落实 。 在 制定 教材 规划 时 依靠 各 课程 专家 在 调查 研究 本 课程 教材 
建设 现状 的 基础 上 提出 规划 选 题 。 在 落实 主编 人 选 时 ,要 引入 竞争 机 制 , 通 过 申报 .评审 确 
定 主编 。 书 稿 完成 后 认真 实行 审 稿 程序 ,确保 出 书 质量 。 

繁荣 教材 出 版 事业 ,提高 教材 质量 的 关键 是 教师 。 建 立 一 支 高 水 平 的 、 以 老 带 新 的 教材 
编写 队伍 才能 保证 教材 的 编写 质量 ,希望 有 志 于 教材 建设 的 教师 能 够 加 入 到 我 们 的 编写 队 
伍 中 来 。 
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第 2 版 前 言 


随 着 计算 机 技 术 与 网 络 技 术 的 飞速 发 展 ,信息 成 为 了 社会 发 展 的 重要 资源 。 信息 安全 的 
新 技术 、 新 标准 也 在 不 断 涌现 ,我 国 已 经 把 信息 安全 技术 与 产业 列 为 今后 一 段 时 期 的 优 
先 发 展 领域 。 信 息 安 全 是 一 门 跨 学 科 、 跨 专业 的 综合 性 学 科 , 涉 及 的 知识 面 很 广 ,本 书 
的 目标 是 力图 向 读者 系统 地 介绍 信息 安全 的 基本 原理 与 技术 。 

本 书 的 第 2 版 仍然 遵循 第 1 版 的 思路 ,从 深入 浅 出 、 通 俗 易 懂 的 角度 让 读者 看透” 
信息 安全 基本 技术 。 首 先 , 从 整体 上 先 让 读者 了 解 其 外 貌 , 从 全 局 的 角度 向 读者 揭示 信 
息 安全 研究 的 基本 内 容 和 基本 技术 ; 其 次 ,在 每 一 章节 都 向 读者 展示 应 该 学 些 什 么 以 
及 它们 的 作用 等 (如 导读 部 分 ); 最 后 ,每 一 章 后 面 都 列 出 了 关键 术语 和 精心 编排 的 习 
题 , 让 读者 能 够 加 强 对 每 章 所 学 基本 概念 和 理论 的 理解 ,从 而 巩固 所 学 的 知识 。 

本 书 的 第 2 版 对 第 1 版 中 的 部 分 内 容 进行 了 修正 ,并 增补 了 近年 来 密码 学 和 网 络 
安全 领域 出 现 的 新 理论 和 新 技术 。 在 本 书 第 3 章 中 增加 了 我 国 商用 密码 算法 SMS4 的 
内 容 ; 第 6 章 在 身份 认证 方面 增加 了 OpenID 和 OAuth 协议 的 内 容 ; 第 10 章 增加 了 
入 侵 防 御 系 统 技术 的 内 容 。 另 外 ,还 增加 了 两 个 章节 的 内 容 : 恶意 代码 (第 11 章 ) 和 无 
线 网 络 安全 (第 12 章 )。 

本 书 作者 多 年 从 事 信 息 安全 课程 的 教学 和 研究 .了 解 学 生 的 需要 ,因此 本 书 始终 是 
从 读者 的 角度 进行 编写 的 。 此 外 ,为 了 方便 教师 授课 ,我 们 还 专门 整理 了 本 书 的 课件 以 
及 本 书 习题 的 全 部 答案 ,可 在 清华 大 学 出 版 社 网 站 (http://www. tup. com. cn) 下 载 。 

本 书 由 郭 亚军 整体 规划 和 统 稿 , 郭 亚军 编写 了 第 1 章 、. 第 2 章 . 第 3 章 . 第 4 章 , 宋 
建华 编写 了 第 6 章 , 第 7 章 . 第 9 章 . 第 10 章 , 李 莉 编写 了 第 5 章 和 第 8 章 , 董 慧 慧 编写 
了 第 11 章 和 第 12 章 。 在 本 书 的 编写 过 程 中 查阅 和 参考 了 大 量 国内 外 文献 和 书籍 , 限 
于 篇 幅 未 能 在 书后 参考 文献 中 一 一 列 出 ,在 此 ,编者 对 原作 者 表示 真诚 的 感谢 ! 

在 本 书 的 编写 过 程 中 我 们 得 到 了 许多 同行 的 热情 帮助 和 支持 ,也 得 到 了 清华 大 学 
出 版 社 编辑 们 的 关心 和 帮助 ,在 此 一 并 表示 衷心 的 谢意 。 

由 于 作者 水 平 有 限 , 书 中 难免 会 有 错误 和 不 当 之 处 , 敬 请 读者 提出 宝贵 意见 。 


作 者 
2012 年 10 月 


第 1 版 前 言 


信息 安全 涉及 的 知识 面 很 广 ,本 书 的 目标 是 力图 向 读者 系统 地 介绍 信息 安全 的 基本 原理 
与 技术 。 全 书 主要 由 下 面 几 个 部 分 组 成 。 

第 一 部 分 : 信息 安全 的 数学 基础 。 这 一 部 分 介绍 了 信息 安全 所 需要 的 数学 知识 ， 
包括 数论 ,代数 基础 ,计算 复杂 性 理论 和 单 向 函数 等 。 

第 二 部 分 : 信息 安全 的 基本 理论 与 技术 。 这 一 部 分 包括 密码 技术 、 认 证 ,数字 签名 
和 访问 控制 等 。 

第 三 部 分 : 信息 安全 技术 在 网 络 安 全 上 的 应 用 。 这 一 部 分 重点 介绍 了 PKI 技术、 
网 络 安全 协议 。 

第 四 部 分 : 系统 安全 技术 。 这 一 部 分 简单 介绍 了 保障 系统 安全 的 防火 墙 技 术 和 入 
侵 检 测 技术 。 

信息 安全 涉及 许多 复杂 的 概念 和 技术 。 为 了 处 理 这 种 复杂 性 ,本 书 从 两 个 方面 让 
读者 "看透" 信息 安全 基本 技术 : 一 是 从 整体 上 让 读者 了 解 其 外 貌 ,从 全 局 的 角度 向 读 
者 揭示 信息 安全 研究 的 基本 内 容 和 基本 技术 ,本 书 的 章节 安排 体现 了 这 一 点 ; 二 是 在 
局 部 方面 向 读者 展示 每 一 章 应 该 学 些 什么 以 及 它们 的 作用 等 (如 导读 部 分 ) 。 

本 书 作 者 多 年 从 事 信息 安全 课程 的 教学 和 研究 ,了 解 学 生 的 需要 ,因此 本 书 始终 是 
从 读者 的 角度 进行 编写 的 。 每 一 章 的 导读 部 分 介绍 了 本 章 的 知识 要 点 .作用 以 及 它们 
之 间 的 联系 。 在 正文 中 用 大 量 的 实例 来 帮助 读者 理解 重点 知识 和 难点 知识 。 

为 了 方便 教师 授课 ,我 们 还 专门 整理 了 本 书 的 课件 以 及 本 书 习题 的 全 部 答案 ,可 在 
清华 大 学 出 版 社 网 站 (www. tup. com. cn) 下 载 。 

本 书 由 郭 亚军 整体 规划 和 统 稿 . 郭 亚军 编写 了 第 1、2、3、4 章 , 宋 建华 编写 了 第 6、 
7、9、10 章 , 李 莉 编写 了 第 5、8 章 。 本 书 在 编写 过 程 中 参考 了 国内 外 许多 文献 和 书籍 ， 
在 此 ,编者 对 原作 者 表示 真诚 的 感谢 ! 

在 本 书 的 编写 过 程 中 得 到 了 许多 同行 的 热情 帮助 和 支持 ,得 到 了 清华 大 学 出 版 社 
编辑 们 的 关心 和 帮助 ,在 此 一 并 表示 衷心 的 谢意 。 

由 于 作者 水 平 有 限 , 书 中 难免 有 不 足 之 处 ,和 敬 请 读者 提出 宝贵 意见 。 


作 者 
2008 年 7 月 
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本 章 导读 

> 本 章 主要 介绍 安全 攻击 、 安 全 机 制 、 安 全 服务 、 安 全 需求 和 安全 目标 ,以 及 它们 之 间 
的 关系 。 最 后 介绍 了 信息 安全 模型 以 及 网 络 安全 协议 。 

> 安全 攻击 分 为 被 动 攻击 和 主动 攻击 。 被 动 攻击 的 目的 是 获得 传输 的 信息 ,不 对 信息 
做 任何 改动 ; 主动 攻击 则 旨 在 纂 改 或 者 伪造 信息 。 

> 安全 机 制 是 阻止 安全 攻击 ,并 对 系统 进行 恢复 的 机 制 。 

> 安全 服务 是 加 强 数 据 处 理 系统 和 信息 传输 的 安全 性 的 一 种 服务 ,安全 服务 可 利用 一 
种 或 多 种 安全 机 制 来 阻止 安全 攻击 。 

> 实现 用 户 所 有 的 安全 要 求 也 就 达到 了 用 户 的 安全 目标 ; 不 同 的 安全 服务 的 联合 能 
够 实现 不 同 的 安全 需求 。 

> 安全 问题 主要 存在 于 网 络 传输 过 程 中 ,以 及 对 信息 系统 的 访问 中 ,本 章 给 出 了 这 两 
类 安全 模型 。 

> TCP/IP 参考 模型 的 安全 性 是 通过 在 各 层 增加 一 些 安全 协议 来 实现 的 。 


近 十 年 来 ,信息 技术 和 信息 产业 得 到 了 快速 发 展 ,与 信息 技术 相关 的 各 个 学 科 和 产业 
(如 微 电 子 .通信 、 计 算 机 科学 与 工程 等 ) 受 到 各 国政 府 、 企 业界 和 学 术 界 的 高 度 重视 。 现 代 
信息 系统 的 形式 多 种 多 样 ,除了 我 们 日 常生 活 必需 的 信息 以 外 ,还 包括 一 些 十 分 重要 的 信 
息 , 如 政府 或 企业 高 度 机 密 的 信息 .机 构 和 个 人 的 产权 信息 等 。 如 果 信 息 系统 受到 攻击 致使 
系统 瘫痪 甚至 崩溃 ,或 者 某 些 重 要 信息 被 泄露 进而 被 利用 , 则 会 造成 很 大 损失 。 

Internet 的 发 展 使 用 户 之 间 的 信息 交换 越 来 越 方便 ,同时 也 使 恶意 攻击 越 来 越 容易 。 
从 国家 计算 机 网 络 应 急 技 术 处 理 协调 中 心 (CNCERT/CC)2006 年 的 网 络 安全 工作 报告 中 
可 以 发 现 ,每 年 出 现 的 安全 事件 越 来 越 多 。2004 年 为 4485 件 ,2005 年 为 9112 件 ,2006 年 
为 26 476 件 。 事件 类 型 主要 有 网 络 仿冒 .网 页 算 改 、 网 页 恶意 代码 ,拒绝 服务 攻击 ,病毒 、 木 
马 、 蠕 虫 等 。2006 年 我 国 大 陆地 区 约 四 万 五 千 个 IP 地 址 的 主机 被 植 入 木马 ; 约 一 千 多 万 个 
IP 地 址 的 主机 被 植 入 僵尸 程序 ; 中 国 大 陆地 区 被 算 改 网 站 总 数 达 到 24 477 个 。 现 在 的 攻 
击 具 有 一 些 更 可 怕 特 征 , 如 发 动 攻 击 所 需要 的 技能 越 来 越 低 , 检 测 攻 击 越 来 越 复杂 ,攻击 的 
破坏 性 也 越 来 越 大 。 因 此 ,需要 大 量 的 技术 和 工具 来 抵抗 这 些 攻击 。 

信息 安全 主要 研究 能 够 抵抗 各 种 攻击 的 技术 。 在 过 去 的 几 十 年 里 ,信息 安全 经 历 了 几 
个 阶段 ,每 个 阶段 的 侧重 点 不 同 ,但 本 质 一 致 。 在 计算 机 出 现 之 前 ,主要 靠 物理 安全 和 管理 
政策 保护 信息 的 安全 性 。 在 这 个 阶段 ,信息 安全 的 主要 目标 是 研究 如 何 对 信息 保密 。 在 计 
算 机 出 现 后 ,信息 安全 的 主要 目标 则 是 研究 计算 机 安全 , 即 研究 如 何 用 一 些 工具 来 保护 计算 
机 系统 自身 的 安全 ,保护 计算 机 中 的 数据 并 阻止 黑客 攻击 。 国 际 标准 化 组 织 ISO 将 计算 机 
安全 定义 为 数据 处 理 系统 建立 和 采用 的 技术 上 和 管理 上 的 安全 保护 ,保护 计算 机 硬件 、 软 件 
数据 不 因 偶然 和 恶意 的 原因 而 遭 到 破坏 、 更 改 和 泄露 。 在 计算 机 网 络 出 现 以 后 ,信息 在 传 
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输 \ 处 理 、 存 储 时 都 存在 安全 问题 ,这 个 阶段 的 一 个 主要 研究 重点 是 网 络 安全 , 即 如 何 保护 数 
据 在 传输 过 程 中 的 安全 。 在 这 个 阶段 ,对 信息 安全 的 研究 涉及 传输 网 络 .计算 机 系统 ,数据 
的 安全 保护 。 实 际 上 ,信息 安全 网 络 安全 以 及 计算 机 安全 这 些 概念 之 间 的 区 别 已 经 越 来 越 
模糊 。 本 书 侧重 讨论 阻止 .防止 ,检测 和 纠正 信息 传输 中 出 现 安全 问题 的 措施 。 在 讨论 之 
前 , 先 要 了 解 “安全 "的 真正 含义 .“ 安 全 "的 基本 含义 为 "远离 有 危害 的 状态 或 特性 ”或 "主观 
上 不 存在 威胁 .主观 上 不 存在 恐惧 "。Bruce Schneier 的 一 段 话 形 象 地 说 明了 安全 的 本 质 
“如 果 把 一 封 信 锁 在 保险 柜 中 ,把 保险 柜 茂 在 纽约 的 某 个 地 方 ,然后 告诉 你 去 看 这 封 信 , 这 并 
不 是 安全 ,而 是 隐藏 ; 相反, 如果 把 一 封 信 锁 在 保险 柜 中 ,然后 把 保险 柜 及 其 设计 规范 和 许 
多 同样 的 保险 柜 给 你 ,以 便 你 和 世界 上 最 好 的 开 保险 柜 的 专家 能 够 研究 锁 的 装 轩 ,而 你 还 是 
无 法 打开 保险 柜 去 读 这 封 信 , 这 才 是 安全 ……” 中 国 的 (孙子 兵法 ) 同 样 给 出 了 安全 的 最 本 质 
含义 。“ 用 兵 之 法 : 无 情 其 不 来 ,情理 有 以 待 也 ; 无 屠 其 不 攻 , 情 吾 有 所 不 可 攻 也 。" 信 息 安 
全 研究 的 最 终 目标 是 保证 信息 系统 具有 这 样 的 安全 性 。 

为 了 更 好 地 理解 信息 安全 的 原理 与 技术 ,本 章 首 先 介绍 一 些 重要 概念 ,它们 是 安全 攻 
击 、 安 全 机 制 、 安 全 目标 与 安全 需求 ,安全 服务 模型 ,然后 给 出 它们 之 间 的 关系 。 最 后 介绍 网 
络 安全 模型 以 及 安全 体系 结构 。 


1.1 安全 攻击 


信息 在 存储 ,共享 和 传输 中 ,可 能 会 被 非法 窃听 截取、 算 改 和 破坏 ,这 些 危 及 信息 系统 
安全 的 活动 称 为 安全 攻击 。 安 全 攻击 分 为 被 动 攻击 和 主动 攻击 。 被 动 攻击 的 特征 是 对 传输 
进行 窃听 和 监测 。 被 动 攻 击 的 目的 是 获得 传输 的 信息 ,不 对 信息 做 任何 改动 ,如 消息 内 容 的 
泄露 和 流量 分 析 等 。 在 受到 被 动 攻击 时 ,系统 的 操作 和 状态 不 会 改变 ,因此 被 动 攻击 主要 威 
胁 信 息 的 保密 性 。 主 动 攻击 则 旨 在 自 改 或 者 伪造 信息 ,也 可 以 是 改变 系统 的 状态 和 操作 , 因 
此 主动 攻击 主要 威胁 信息 的 完整 性 、 可 用 性 和 真实 性 。 常 见 的 主动 攻击 包括 伪装 、 自 改 、 重 
放 和 拒绝 服务 。 
下 面 是 一 些 常见 的 安全 攻击 。 
。 消息 内 容 的 泄露 : 消息 的 内 容 被 泄露 或 透露 给 某 个 非 授 权 的 实体 。 攻 击 者 用 各 种 
可 能 的 合法 的 或 非法 的 手段 窃取 系统 中 的 信息 资源 和 敏感 信息 。 例 如 ,对 通信 线路 
中 传输 的 信号 搭 线 监听 ,或 者 利用 通信 设备 在 工作 过 程 中 产生 的 电磁 泄露 截取 有 价 
值 的 信息 或 者 利用 网 络 嗅 探 器 窃听 网 络 数据 包 。 
。 流量 分 析 (Traffic Analysis): 通过 对 系统 进行 长 期 监听 ,利用 统计 分 析 方 法 对 诸如 
通信 双方 的 标识 、 通 信 频 度 、 消 息 格式 、 通 信 的 信息 流向 、 通 信和 总 量 的 变化 等 参数 进 
行 研究 。 从 中 发 现 有 价值 的 信息 和 规律 。 在 流量 分 析 过 程 中 ,攻击 者 虽然 不 能 获得 
消息 的 内 容 , 但 攻击 者 通过 分 析 数 据 从 哪里 来 到 哪里 去 ,传送 多 长 时 间 、 什 么 时 候 发 
送 ,发 送 频 繁 程度 以 及 是 否 与 其 他 事件 有 关联 等 信息 可 以 判断 通信 的 性 质 。 
。 自 改 : 指 对 合法 用 户 之 间 的 通信 消息 进行 修改 或 者 改变 消息 的 顺序 。 
。 伪装 : 指 一 个 实体 冒充 另 一 个 实体 ,通常 攻击 者 通过 欺骗 通信 系统 (或 用 户 ) 冒 充 成 为 
合法 用 户 ,或 者 特权 小 的 攻击 者 冒充 成 为 特权 大 的 用 户 。 黑 客 大 多 采用 的 是 伪装 攻击 。 
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。 重 放 : 将 获得 的 信息 再 次 发 送 以 期 望 获 得 合法 用 户 的 利益 。 重 放 攻 击 类 似 于 现实 
生活 中 利用 旧 飞 机 票 再 次 登 机 。 

。 拒绝 服务 (Denial of Service): 指 阻止 对 信息 或 其 他 资源 的 合法 访问 。 常 见 的 形式 
是 破坏 设备 的 正常 运行 和 管理 。 或 者 一 个 实体 抑制 发 往 特定 地 址 的 所 有 信件 。 另 
外 一 种 是 将 整个 网 络 扰乱 ,扰乱 的 方法 是 发 送 大 量 垃 圾 信件 使 网 络 过 载 ,以 降低 系 


统 性 能 ,使 合 


法 用 户 得 不 到 应 有 的 服务 。 


1.2 安全 机 制 


阻止 安全 攻击 及 恢复 系统 的 机 制 称 为 安全 机 制 。 所 有 的 安全 机 制 都 是 针对 某 些 安全 攻 
击 而 设计 的 ,可 以 按 不 同 的 方式 单独 或 组 合 使 用 。 合 理 地 使 用 安全 机 制 会 在 有 限 的 投入 下 
最 大 地 降低 安全 风险 。 

安全 机 制 是 实现 一 个 或 多 个 安全 服务 的 技术 手段 。OSI 安全 框架 将 安全 机 制 分 为 特定 
安全 机 制 和 普遍 安全 机 制 。 一 个 特定 安全 机 制 是 在 同一 时 间 只 针对 一 种 安全 服务 实施 一 种 
技术 或 软件 。 加 密 就 是 特定 安全 机 制 的 一 个 例子 。 尽 管 可 以 通过 使 用 加 密 来 保护 数据 的 保 
密 性 、 完 整 性 和 不 可 否定 性 ,但 针对 每 种 不 同 的 服务 ,需要 不 同 的 加 密 技 术 。 普 遍 安 全 机 制 
和 特定 安全 机 制 的 一 个 明显 区 别 是 ,一 般 安全 机 制 不 能 应 用 到 OSI 参考 模型 的 任意 一 


层 上 。 


特定 安全 机 制 包括 加 密 、 数 字 签 名 ,访问 控制 ,数据 完整 性 .认证 交换 流量 填充 .路 由 控 


制 和 公证 。 
。 加 密 机 制 : 力 


ll 密 是 提供 数据 保护 最 常用 的 方法 ,加 密 能 够 提供 数据 的 保密 性 ,并 能 


对 其 他 安全 机 制 起 到 辅助 作用 或 对 它们 进行 补充 。 
。 数字 签名 机 制 : 数字 签名 主要 用 来 解决 通信 双方 发 生 否 认 、 伪 造 , 臭 改 、 冒 充 等 问题 。 
。 访问 控制 机 制 : 访问 控制 机 制 是 按照 事先 制定 的 规则 确定 主体 对 客体 的 访问 是 否 
合法 ,以 防止 未 经 授权 的 用 户 非法 访问 系统 资源 。 
。 数据 完整 性 机 制 : 用 于 保证 数据 单元 完整 性 的 各 种 机 制 。 


。 认证 交换 机 
。 流 量 填充 机 


出 : 以 交换 信息 的 方式 来 确认 对 方 身份 的 机 制 。 
出 : 指 在 数据 流 中 填充 一 些 额 外 数据 ,用 于 防止 流量 分 析 的 机 制 。 


。 路 由 控制 机 制 : 发 送信 息 者 可 以 选择 特殊 的 安全 线路 发 送信 息 。 

。 公证 机 制 : 在 两 个 或 多 个 实体 间 进行 通信 时 ,数据 的 完整 性 来源 \ 时 间 、 目 的 地 等 
内 容 都 由 公证 机 制 来 保证 。 

普遍 安全 机 制 包 括 如 下 内 容 。 


。 可 信和 功能 机 制 : 主要 加 强 现 有 的 安全 机 制 。 包 括 扩展 其 他 安全 机 制 的 应 用 范围 ， 


或 


者 增加 其 他 安全 机 制 的 效用 。 

。 安全 标签 机 制 : 安全 性 细 化 ,标明 安全 对 象 的 敏感 程度 或 保护 级 。 

。 事 件 检测 机 制 : 检查 和 报告 本 地 或 远程 发 生 的 与 安全 相关 的 事件 。 既 要 检查 安全 
破坏 事件 ,也 要 检查 正常 事件 。 

。 审计 跟踪 机 制 : 收集 可 用 于 安全 审计 的 数据 ,检查 系统 记录 和 行为 ,测试 系统 控制 


4 信息 安全 原理 与 技术 (第 2 版) 


信息 是 否 正常 ,确保 安全 策略 的 正常 实施 。 
。 安全 恢复 机 制 : 对 一 些 事件 做 出 反应 ,包括 对 于 已 知 漏洞 创建 短期 和 长 期 的 解决 方 
案 , 对 受 危害 系统 的 修复 等 , 即 从 安全 受到 破坏 的 状态 恢复 到 安全 状态 。 


在 以 上 的 安全 机 制 中 ,与 安全 服务 有 关 的 机 制 是 加 密 、 数 字 签 名 ,访问 控制 .数据 完整 
性 ,认证 交换 ,流量 填充 .路 由 控制 和 公证 。 与 管理 相关 的 机 制 是 可 信 功 能 机 制 ,安全 标签 机 
制 . 事 件 检测 机 制 、 审 计 跟 踪 机 制 和 安全 恢复 机 制 。 


1.3 安全 目标 与 安全 需求 


信息 安全 是 指 信息 系统 的 硬件 .软件 及 其 系统 中 的 数据 受到 保护 ,不 会 因 偶然 的 或 者 恶 
意 的 原因 而 遭 到 破坏 .更 改 . 泄露 ,系统 连续 、 可 
靠 . 正 常 地 运行 ,使 信息 服务 不 中 断 。 信 息 安 全 
的 目标 是 指 能 够 满足 一 个 组 织 或 者 个 人 的 所 有 
安全 需求 。 通 常 强调 CIA (Confidentiality， 
Integrity, Availability) 三 元 组 的 目标 , 即 保密 
性 完整 性 和 可 用 性 。 它 们 之 间 的 关系 如 图 1. 1 
所 示 。 信 息 安 全 主要 致力 于 这 些 目 标 , 由 于 这 
些 目标 常常 是 互相 矛盾 的 ,因此 需要 在 这 些 目 
标 中 找到 一 个 合适 的 平衡 点 。 例 如 ,简单 地 阻 
止 所 有 人 访问 一 个 资源 ,就 可 以 实现 该 资源 的 
图 1.1 保密 性 完整 性 和 可 用 性 之 间 的 关系 ”保密 性 ,但 这 样 做 就 不 满足 可 用 性 。 因 此 应 该 
在 两 者 之 间 找 到 一 个 平衡 点 。 

可 通过 考虑 一 些 安全 需求 来 满足 安全 目标 。 安 全 需求 主要 包括 如 下 一 些 内 容 。 

。 可 用 性 (Availability) : 确保 授权 的 用 户 在 需要 时 可 以 访问 信息 。 系 统 可 用 性 保证 
系统 能 够 正常 工作 ,合法 用 户 对 信息 和 资源 的 使 用 不 会 被 不 合理 地 拒绝 。 可 用 性 是 
对 信息 资源 服务 功能 和 性 能 可 靠 性 的 度量 ,是 对 信息 系统 总 体 可 靠 性 的 要 求 。 
完整 性 (Integrity) : 保护 信息 和 信息 处 理 方法 的 准确 性 和 原始 性 。 主 要 指 信 息 在 生 
成 .传输 ,储存 和 使 用 过 程 中 没有 被 算 改 、 丢 失 等 。 完 整 性 包括 数据 完整 性 和 系统 完 
整 性 。 数 据 完 整 性 指数 据 没 有 被 非 授 权 操 纵 , 非 授权 数据 操纵 可 能 发 生 在 数据 储 
存 、 处 理 和 传输 的 过 程 中 。 类 似 于 数据 完整 性 ,系统 完整 性 表示 系统 没有 被 非 授 权 
操纵 ,或 者 以 非 授 权 方式 访问 。 
保密 性 (Confidentiality) : 确保 信息 只 被 授权 人 访问 。 保 密 性 是 指 信息 不 被 泄露 给 
非 授权 者 。 保 密 性 可 使 机 密 信息 不 被 窃听 ,或 窃听 者 不 能 了 解 信息 的 真实 含义 。 

可 追溯 性 (Accountability) : 可 追溯 性 需求 是 确保 实体 的 行动 可 被 跟踪 。 可 追溯 性 常常 
是 一 个 组 织 策略 要 求 , 直 接 支持 不 可 否认 故障 隔离 入侵 检测 .事后 恢复 和 诉讼 。 
。 保障 (Assurance) : 保障 是 对 安全 措施 信任 的 基础 ,保障 是 指 系统 具有 足够 的 能 力 保护 

无 意 的 错误 以 及 能 够 抵抗 故意 渗透 。 没 有 保障 需求 ,其 他 的 安全 需求 将 不 能 满足 。 


上 面 提 到 的 5 个 安全 需求 是 相互 关联 和 相互 依赖 的 ,它们 之 间 的 关系 如 图 1.2 所 示 。 


小 
地 
党 
En 
cm 


完整 性 保密 性 
(保密 性 ] (完整 性 】 | (保密 性 ] (完整 性 ] 
| 二 


1.2 安全 需求 之 间 的 关系 


从 图 1. 2 中 可 以 看 到 ,保密 性 依赖 于 完整 性 ,如 果 系 统 没 有 完整 性 ,保密 性 就 会 失去 意 
义 。 同 样 完整 性 也 依赖 于 保密 性 ,如果 不 能 保证 保密 性 ,完整 性 也 将 不 能 成 立 。 假 如 某 个 信 
息 的 保密 性 不 存在 (如 超级 用 户 密码 丢失 ) ,那么 攻击 者 可 以 使 用 旁 路 控制 的 方法 破坏 系统 
的 完整 性 。 旁 路 控制 是 指 攻 击 者 利用 系统 的 安全 缺陷 或 安全 性 上 的 脆弱 之 处 获得 非 授权 的 
权利 或 特权 。 例 如 ,攻击 者 通过 各 种 攻击 手段 发 现 原本 应 保密 ,但 是 却 又 暴露 出 来 的 一 些 系 
统 “ 特 性 ” ,利用 这 种 “特性 ”, 攻 击 者 可 以 绕 过 防线 守卫 者 侵入 系统 的 内 部 。 可 用 性 和 可 追溯 
性 都 由 保密 性 和 完整 性 支持 。 上 面 提 到 的 这 些 安全 需求 都 依赖 于 保障 。 


1.4 安全 服务 模型 


安全 服务 是 加 强 数 据 处 理 系统 和 信息 传输 的 安全 性 的 一 种 服务 ,是 指 信息 系统 为 其 应 
用 提供 的 某 些 功能 或 者 辅助 业务 。 安 全 机 制 是 安全 服务 的 基础 。 安 全 服务 是 利用 一 种 或 多 
种 安全 机 制 阻止 安全 攻击 ,以 保证 系统 或 者 数据 传输 有 足够 的 安全 性 。 图 1. 3 给 出 了 一 个 
综合 安全 服务 模型 ,该 模型 揭示 了 主要 安全 服务 和 支撑 安全 服务 之 间 的 关系 。 该 模型 主要 
由 3 个 部 分 组 成 : 支撑 服务 .预防 服务 和 检测 与 恢复 相关 的 服务 。 


1.4.1 支撑 服务 


支撑 服务 是 其 他 服务 的 基础 ,主要 包括 如 下 一 些 内 容 。 

。 鉴别 (Identification) : 它 表 示 能 够 独特 地 识别 系统 中 所 有 实体 ,这 些 实体 可 能 是 用 
户 .进程 或 者 信息 资源 。 

。 密 钥 管理 : 该 服务 表示 以 安全 的 方式 管理 密 钥 。 密 钥 常 常用 于 鉴别 一 个 实体 。 

。 安全 性 管理 (Security Administration) : 系统 的 所 有 安全 属性 必须 进行 管理 。 如 安 
装 新 的 服务 ,更 新 已 有 的 服务 ,监控 以 保证 所 提供 的 服务 是 可 操作 的 。 

。 系统 保护 : 系统 保护 通常 表示 对 技术 执行 的 全 面 信 任 。 如 剩余 信息 保护 `. 过程 分 
离 .最 小 特权 、 模 块 性 以 及 信任 的 最 小 化 等 。 
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cl 
yp 认证 
进程 授权 
访问 控制 
受 保护 的 通信 
1.3 综合 安全 服务 模型 
1.4.2 预防 服务 
预防 服务 能 够 阻止 出 现 安全 漏洞 。 


受 保护 的 通信 : 该 服务 是 保护 实体 之 间 的 通信 。 该 服务 是 保证 完整 性 、 可 用 性 以 及 
保密 性 的 基础 。 

认证 (Authentication) : 保证 通信 的 实体 是 它 所 声称 的 实体 ,也 就 是 验证 实体 身份 。 
授权 (Authorization) ; 授权 表示 人 允许 一 个 实体 对 一 个 给 定 系统 做 一 些 操作 。 如 访问 
一 个 资源 。 

访问 控制 (Access Control) : 防止 非 授 权 用 户 使 用 资源 , 即 控 制 谁 访问 资源 、 在 什么 
条 件 下 访问 、 能 够 访问 什么 等 。 

不 可 否认 (Non-repudiation): 它 是 与 责任 相关 的 服务 , 指 发 送 方 和 接收 方 都 不 能 否 
认 发 送 和 接收 到 的 信息 。 

交易 隐私 (Transaction Privacy) : 该 服务 用 于 保护 任何 数字 交易 的 隐私 。 


1.4.3 检测 与 恢复 服务 


检测 与 恢复 服务 主要 用 于 对 安全 漏洞 的 检测 ,以 及 采取 行动 恢复 或 者 降低 这 些 安全 漏 
洞 产生 的 影响 ,主要 包括 如 下 一 些 内 容 。 


审计 (Audib : 当 安 全 漏洞 被 检测 到 时 ,审计 安全 相关 的 事件 是 非常 重要 的 。 它 是 在 系 
统 发 现 错误 或 受到 攻击 时 能 定位 错误 和 找到 攻击 得 件 的 原因 ,以 便 对 系统 进行 恢复 。 
入 侵 检测 (Intrusion Detection) : 该 服务 主要 监控 危害 系统 安全 的 可 疑 行为 ,以 便 尽 
旱地 采用 额外 的 安全 机 制 来 使 系统 更 安全 。 


oe 


第 1 章 引 了 


整体 检验 (Proof of Wholeness) : 整体 检验 服务 主要 用 于 检验 系统 或 者 数据 是 否 仍 
然 是 完整 的 。 

恢复 安全 状态 (Restore Secure State) : 该 服务 用 于 保证 当 发 生 安 全 漏洞 时 ,系统 必 
须 能 够 恢复 到 安全 的 状态 。 


1.5 安全 目标 .安全 需求 .安全 服务 
和 安全 机 制 之 间 的 关系 


前 面 我 们 已 经 介绍 了 安全 目标 、 安 全 需求 ,安全 服务 和 安全 机 制 , 它 们 之 间 的 大 致 关系 


可 用 图 1.4 表示 。 
Et) 


安全 需求 [安全 需求 


安全 服务 | [安全 服务 | [ 安全 服务 | [ 安全 服务 


安全 机 制 | | 安全 机 制 | ”| 安全 机 制 
图 1.4 安全 目标 .安全 需求 .安全 服务 和 安全 机 制 之 间 的 关系 
实现 全 部 安全 需求 才能 达到 安全 目标 ,不 同 的 安全 服务 的 组 合 能 够 实现 不 同 的 安全 需 
求 ,一 个 安全 服务 可 能 是 多 个 安全 需求 的 组 成 要 素 。 同 样 ,不 同 的 安全 机 制 组 合 能 够 完成 不 
同 的 安全 服务 ,一 个 安全 机 制 也 可 能 是 多 个 安全 服务 的 构成 要 素 。 表 1. 1 表示 了 一 些 安全 
服务 和 安全 需求 之 间 的 关系 。 
表 1.1 安全 服务 和 安全 需求 之 间 的 关系 


安全 服务 实 守 大 才 可 用 性 | 完整 性 | 保密 性 | 可 追溯 性 保 障 
鉴别 Vv Vv Vv 

密 钥 管理 V/ J V/ 

安全 性 管理 V 
系统 保护 ~ 
受 保护 的 通信 ~V Vv Vv ~ 
认证 V Vv ~ 
授权 V. Vv Vv Vv 

访问 控制 Vv Vv Vv Vv ~ 
不 可 否认 V 

交易 隐私 Vv 

审计 Vv 

入侵 检测 V Vv Vv ~v 
整体 检验 Vv J Vv 还 
恢复 安全 状态 Vv V ~ 
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表 1. 1 也 说 明了 不 是 所 有 的 安全 需求 都 强制 性 地 要 求 所 有 安全 服务 可 用 ,但 是 这 些 安 
全 服务 并 不 是 完全 可 以 忽略 的 ,因为 这 些 安全 服务 可 能 被 间接 地 使 用 。 如 表 1. 1 中 的 鉴别 
和 密 钥 管理 两 个 安全 服务 仅仅 是 完整 性 .保密 性 和 可 追溯 性 所 要 求 的 ,不 是 可 用 性 和 保障 必 
须 的 ,但 可 用 性 是 依赖 于 完整 性 和 保密 性 的 。 保 障 则 与 可 用 性 ,完整 性 ,保密 性 和 可 追溯 性 
相关 。 所 以 一 个 密 钥 管理 服务 将 影响 到 所 有 的 安全 需求 。 


1.6 网 络 安全 模型 


大 多 数 信息 安全 涉及 通信 双方 在 网 络 传输 过 程 中 的 数据 安全 和 计算 机 系统 中 数据 安 
全 。 图 1. 5 是 一 个 典型 的 网 络 安全 模型 。 


可 信 的 第 三 方 
i 
发 送 方 接收 方 

安全 变换 
| 消 
电 

秘密 信息 

(如 密 钥 ) | (如 密 钥 ) 

攻击 者 


1.5 网 络 安全 模型 


通信 一 方 要 通过 传输 系统 将 消息 传送 给 另 一 方 , 由 于 传输 系统 提供 的 信息 传输 通道 是 
不 安全 的 ,存在 攻击 者 ,所 以 在 将 敏感 消息 通过 不 安全 的 通道 传 给 接收 方 之 前 ,一 般 先 要 对 
消息 进行 安全 变换 ,以 得 到 一 个 秘密 的 安全 消息 ,这 样 可 以 防止 攻击 者 危害 消息 的 保密 性 和 
真实 性 。 安 全 秘密 消息 到 达 接 收 方 后 ,再 经 过 安全 变换 的 逆 变 换 , 这 样 秘密 消息 可 被 恢复 成 
原始 的 消息 。 在 大 多 数 情况 下 ,对 消息 的 安全 变换 是 基于 密码 算法 来 实现 的 ,在 变换 过 程 中 
使 用 的 密码 算法 不 能 被 攻击 者 窃取 。 

为 了 保证 传输 安全 ,需要 有 大 家 都 信任 的 第 三 方 ,如 第 三 方 负责 将 秘密 信息 分 配给 通信 
双方 ,或 者 当 通信 的 双方 就 关于 信息 传输 的 真实 性 发 生 争执 时 ,由 第 三 方 来 仲裁 。 

从 网 络 安全 模型 可 以 看 到 ,设计 安全 服务 应 包括 以 下 4 个 方面 的 内 容 。 

(1) 设计 一 个 恰当 的 安全 变换 算法 ,该 算法 应 有 足够 强 的 安全 性 ,不 会 被 攻击 者 有 效 地 
攻破 。 

(2) 创建 安全 变换 中 所 需要 的 秘密 信息 ,如 密 钥 。 

(3) 设计 分 配 和 共享 秘密 信息 的 方法 。 

(4) 指明 通信 双方 使 用 的 协议 ,该 协议 利用 安全 算法 和 秘密 信息 实现 系统 所 需要 的 安 
全 服务 。 

图 1.6 是 网 络 访问 信息 系统 的 安全 模型 。 该 模型 能 保护 信息 系统 不 受 有 害 的 访问 ,如 
阻止 黑客 试图 通过 网 络 访问 信息 系统 ,或 者 阻止 有 意 或 者 恶意 的 破坏 或 者 阻止 亚 意 软件 利 


oo 
Oo 
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用 系统 的 弱点 来 影响 应 用 程序 的 正常 运行 。 

对 付 有 害 访问 的 安全 机 制 分 为 两 类 。 一 类 是 具有 门卫 功能 的 守卫 者 , 它 包含 基于 认证 
的 登录 过 程 ,只 允许 授权 的 实体 不 越权 限 地 合法 使 用 系统 资源 ; 另 一 类 称 为 信息 系统 内 部 
安全 机 制 , 它 是 用 于 检测 和 防止 人 侵 者 在 突破 了 守卫 者 之 后 对 信息 系统 内 部 的 破坏 。 


计算 机 资源 
(处 理 器 、 储 存 器 、1/0) 


攻击 者 (TD | 
人 (如 黑客 ) 多 a 


软件 (病毒 、 蠕 虫 ) Re 让 件 
访问 通道 守卫 者 软件 
内 部 安全 控制 
信息 系统 
1.6 ”网络 访问 信息 系统 的 安全 模型 


1.7 ”网络 安全 协议 


在 TCP/IP 刚 出 现时 ,协议 设计 者 对 网 络 安全 方面 的 考虑 较 少 。 随 着 Internet 的 快速 
发 展 , 越 来 越 多 的 人 开始 使 用 TCP/IP, 因 此 , 它 的 各 种 安全 脆弱 性 逐步 体现 出 来 ,但 目前 又 
不 能 设计 出 一 种 全 新 的 协议 来 取代 TCP/IP。 一 种 解决 方法 是 在 TCP/IP 参考 模型 的 各 层 
增加 一 些 安全 协议 来 保证 安全 。 这 些 安全 协议 主要 分 布 在 最 高 三 层 , 主 要 有 如 下 一 些 协 议 。 
。 网 络 层 的 安全 协议 : IPSec。 
。 传输 层 的 安全 协议 : SSL/TLS。 
。 应 用 层 的 安全 协议 : SHTTP(Web 安全 协议 )、PEM( 电 子 邮 件 安全 协议 )、MOSS 
(电子 邮件 安全 协议 )、.PGP (电子 邮件 安全 协议 )、S/ MIME (电子 邮件 安全 协议 )、 
SSH( 远 程 登 录 安 全 协议 )、Kerberos( 网 络 认证 协议 ) 等 。 


IPSec(IP Security) 是 IETF 制定 的 一 系列 安全 标准 协议 , 它 为 在 不 可 信 的 网 络 上 的 IP 
数据 包 传输 提供 了 一 个 安全 框架 。IPSec 能 够 保证 IP 协议 及 上 层 协议 的 安全 性 。 

SSL/TLS(Secure Socket Layer/Transport Layer Security) 。SSL 是 1994 年 Netscape 
公司 设计 的 用 于 HTTP 协议 加 密 的 安全 传输 协议 。SSL 工作 于 传输 层 和 应 用 程序 之 间 ,为 
TCP 提供 可 靠 的 端 对 端 安全 服务 。IETF 于 1997 年 基于 SSL 3. 0 协议 发 布 了 TLS 1.0, 并 
于 1999 年 正式 作为 标准 , 即 RFC2246。 因 此 TLS 1.0 相当 于 SSL 3. 1。 

SHTTP(Secure Hypertext Transfer Protocol) 是 一 种 结合 HTTP 而 设计 的 消息 的 安 
全 通信 协议 。 最 初 由 企业 集成 技术 公司 (Enterprise Integration Technology Corporation， 
EIT) 提 出 。SHTTP 通过 把 加 密 增强 功能 集成 到 HTTP 通信 流 中 ,在 应 用 层 上 实现 对 
WWW 的 安全 支持 。SHTTP 1. 0 于 1994 年 6 月 发 布 ,SHTTP 1.4 版 本 (RFC2660) 于 
1999 年 8 月 发 布 。 

PEM(Privacy Enhanced Mail) 是 20 世纪 80 年 代 末 90 年 代 初 发 展 起 来 的 .第 1 个 描述 
电子 邮件 安全 的 标准 (RFC1421-1424)。 它 在 Internet 电子 邮件 标准 格式 上 增加 了 加 密 、 认 
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证 、 密 钥 管 理 等 功能 。 但 只 能 适用 保密 文本 信息 非常 简单 的 消息 格式 。 

MOSS(MIME Object Security Service) 是 1995 年 提出 的 电子 邮件 安全 协议 , 它 包 含 了 
PEM 的 大 部 分 特性 和 协议 规范 。 它 是 将 PEM 和 MIME 两 种 协议 相 结合 的 一 种 电子 邮件 
安全 技术 。 其 中 MIME(Multipurpose Internet Mail Extensions) 是 一 种 Internet 邮件 标准 
化 的 格式 , 它 允 许 以 标准 化 的 格式 在 电子 邮件 消息 中 包含 增强 文本 、 音 频 、 图 形 .视频 和 类 似 
的 信息 。 然 而 , MIME 不 提供 任何 安全 性 元 素 。 

PGP(Pretty Good Privacy) 是 由 Philip Zimmermann 在 1991 年 开发 的 带 加 密 及 签名 功 
能 的 安全 邮件 系统 。 

S/MIME(Secure/MIME) 是 由 RSA 公司 于 1995 年 提出 的 电子 邮件 安全 协议 ,与 传统 
的 PEM 不 同 , 由 于 其 内 部 采用 了 MIME 的 消息 格式 ,因此 不 仅 能 发 送 文本 ,还 可 以 携带 各 
种 附加 文档 ,如 包含 国际 字符 集 `HTML 音频 .语音 邮件 .图 像 . 多 媒体 等 不 同类 型 的 数据 
内 容 , 目 前 大 多 数 电子 邮件 产品 都 包含 了 对 S/MIME 的 内 部 支持 。 

SSH(Secure Shell) 是 一 种 远程 登录 安全 协议 ,主要 由 芬兰 赫尔辛基 大 学 的 Tatu Ylonen 
开发 , 它 提供 了 一 条 安全 的 远程 登录 通道 。 

Kerberos 协议 是 20 世纪 80 年 代 由 MIT 开发 的 一 种 网 络 认 证 协议 。Kerberos 是 希腊 
神话 故事 中 的 一 种 有 三 个 头 的 狗 , 还 有 一 个 蛇 形 尾巴 , 它 是 地 狱 之 门 的 守卫 者 。Kerberos 
这 个 名 字 的 含义 是 要 有 三 个 “ 头 ” 来 守卫 网 络 之 门 , 三 个 “ 头 ” 包 括 认证 (Authentication) 、 清 
算 (Accounting) 和 审计 (Audit) 。 

上 面 提 到 的 一 些 协议 将 在 本 书后 面 的 章节 中 进行 详细 介绍 。 


1.8 关键 术语 


安全 攻击 (Security Attack) 
安全 机 制 (Security Mechanism) 
安全 服务 (Security Service) 
安全 目标 (Security Goal) 

鉴别 (Identificationy) 

认证 (Authentication) 

授权 (Authorization) 

访问 控制 (Access Control) 
数据 保密 性 (Data Confidentiality) 
数据 完整 性 (Data Integrity) 

不 可 否认 (Non-repudiation) 

可 用 性 (Availability) 

可 追溯 性 (Accountability) 
拒绝 服务 (Denial of Service) 
重 放 攻击 (Replay Attack) 


沾 
地 
党 
En 


js es hs js fs jis 
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1.9 习题 1 


主动 攻击 和 被 动 攻击 的 区 别 是 什么 ? 

列 出 一 些 主动 攻击 和 被 动 攻击 的 例子 。 

列 出 安全 机 制 的 种 类 ,并 进行 简单 定义 。 

安全 服务 模型 主要 由 几 个 部 分 组 成 ? 它们 之 间 存 在 什么 关系 ? 
说 明 安全 目标 、 安 全 要 求 , 安 全 服务 以 及 安全 机 制 之 间 的 关系 。 
说 明 在 网 络 安全 模型 中 可 信 的 第 三 方 所 起 的 作用 。 


本 章 导读 

> 本 章 介绍 的 数学 知识 是 学 习 后 面 章节 (特别 是 密码 学 部 分 ) 的 基础 。 主 要 包括 数论 、 
代数 基础 、 计 算 复杂 性 理论 和 单 向 函数 。 

> 两 个 整数 的 最 大 公 因 子 是 可 以 整除 这 两 个 整数 的 最 大 整数 。 计 算 两 个 数 的 最 大 公 
因子 的 、 最 容易 的 方法 是 欧 几 里 得 算法 。 

> 素数 表示 只 能 被 自身 和 1 整除 的 数 。 许 多 密码 算法 需要 选取 一 个 大 的 素数 ,判断 一 
个 随机 选取 的 大 整数 是 否 是 素数 是 一 个 非常 有 意义 的 研究 课题 。 

> 模 运 算 就 是 求 余 运 算 。 求 余 运 算 a mod m 是 将 a 映射 到 集合 {0,1,…,m 一 1) 中。 

> 模 算术 运算 类 似 于 普通 的 实数 域 上 的 加 法 和 乘法 , 它 同样 是 可 交换 的 、 可 结合 的 、 可 

分 配 的 ,并 且 简 化 运算 每 一 个 中 间 结 果 的 模 运 算 , 其 作用 与 先进 行 全 部 运算 ,然后 再 

简化 模 运 算 的 效果 一 样 。 

扩展 欧 几 里 得 算法 可 以 同时 求 最 大 公 因 子 和 模 逆 元 。 

公 铀 密码 体制 中 两 个 非常 重要 的 定理 是 费 马 定理 和 欧 拉 定 理 。 

离散 对 数 、 中 国 剩余 定理 和 二 次 剩余 是 一 些 公 钥 密码 算法 的 基础 。 

有 限 域 在 密码 学 中 拥有 非常 重要 的 地 位 。 有 限 域 表示 域 中 的 元 素 个 数 是 有 限 的 。 

计算 复杂 性 理论 是 分 析 不 同 密码 技术 和 算法 的 计算 复杂 性 的 方法 ,是 安全 的 现代 密 

码 系统 构造 方法 的 理论 依据 。 

> 单 向 函数 是 计算 其 函数 值 容 易 , 但 求 其 北 很 难 的 函数 。 单 向 陷 门 函数 是 在 不 知 陷 门 
信息 的 情况 下 求 北 困难 的 函数 ; 当知 道 陷 门 信息 后 , 求 逆 是 易于 实现 的 。 在 密码 学 
中 使 用 的 是 单 向 陷 门 函数 。 


Vvvyvy 


信息 安全 是 一 门 交 叉 学 科 , 它 涉及 许多 学 科 , 诸 如 数学 `. 计 算 机 科学 .通信 、 信 息 论 等 。 
本 章 主 要 介绍 本 书 中 所 用 到 的 一 些 数学 知识 。 


2.1 数 论 


数论 是 一 个 用 数学 方法 研究 整数 性 质 的 ,古老 的 数学 分 支 , 它 是 近代 密码 学 的 重要 基础 
之 二 


名 各 症 , 因 和 也 


设 Z 表示 全 体 整数 所 构成 的 集合 。 
定义 2.1 设 a,b E2,a 关 0,cE2Z, 使 得 b==ac, 则 称 a 整除 5, 并 称 a 是 2 的 因子 或 者 约 
数 ,b 是 a 的 倍数 , 记 为 a15。 
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由 整除 的 定义 可 知 , 它 具有 如 下 性 质 : 若 a 隆 0,6 取 0, 则 : 

(1) ala。 

(2) 如 果 alb,blc, 则 alc。 

(3) 如 果 alc, 则 ablcb。 

(4) 如 果 ald,ale, 则 对 所 有 的 ,y €E2Z, 有 al(dzrtey)。 

(5) 如 果 alb,bla, 则 ao 一 士 0。 

定理 2.1( 带 余 除法 ) ” 设 a,b €E2,6 宇 1, 则 存在 唯一 的 整数 g 和 7 ,使 得 a 二 gb 十 7， 


0 三 r 过 5。g 称 为 a 除 以 5b 所 得 的 商 ,r 称 为 a 除 以 5 所 得 的 最 小 非 负 剩余 。 


定义 2.2 设 a.b E2,a.b 不 全 为 0, 如 果 cla 且 cl5b, 则 称 c 为 a 和 6 的 公 因 子 。 特 别 


地 ,我 们 把 a 和 2 的 所 有 公 因 子 中 最 大 的 , 称 为 c 和 4 的 最 大 公 因 子 , 记 为 gcd(a,0) 或 者 (a,b)。 


水 


如 果 正 整数 d 满足 下 面 两 个 条 件 ,那么 它 即 为 c 和 2 的 最 大 公 因 子 。 
(1) d 是 a 和 2 的 公 因 子 。 
(2) 对 a 和 wb 的 任何 一 个 公 因 子 c, 有 cld。 
可 以 证 明 a 和 4 的 最 大 公 因 子 必然 存在 , 且 唯 一 。 
定义 2.3 设 a,b E2,a,b 不 全 为 0, 如 果 alD 且 41D,D 三 1, 则 称 DD 为 a 和 2 的 公 倍 
我 们 把 a 和 4 的 所 有 公 倍数 中 最 小 的 正 数 , 称 为 a 和 4 的 最 小 公 倍数 。 记 为 lem(a,b)。 
a 和 6。 的 最 小 公 售 数 一 定 存在 , 且 唯 一 。 对 于 两 个 正 整 数 a 和 46, 可 以 证 明 : 

ab = gcd(a,b)» lem(a,b) 
定理 2.2 设 和 2 都 是 正 整数 (o>0), 且 : 

Q& 一 pq 十 rr 0<r<6b 


其 中 g 和 x 都 是 正 整 数 , 则 : 


(1) a 和 2 的 任意 一 个 公 因 子 也 是 5b 和 的 公 因子 。 

(2) 5b 和 的 任意 一 个 公 因 子 也 是 a 和 4 的 公 因子 。 

(3) gcd(a,b)=gcd(b,r), 

(4) 车 gcd(a.0)==d, 则 gcd(ald.bld)==1。 

计算 两 个 数 的 最 大 公 因 子 的 最 容易 的 方法 是 用 欧 几 里 得 (Euclid) 算 法 , 它 通过 一 个 简 


单 过 程 来 确定 两 个 正 整数 的 最 大 公 因 子 。 


定理 2.3( 欧 几 里 得 算法 ) ”给 定 整 数 a 和 2%, 且 />0, 重 复 使 用 带 余 除法 , 即 每 次 的 余数 


为 除数 去 除 上 一 次 的 除数 ,直到 余数 为 0, 这 样 可 以 得 到 下 面 一 组 方程 。 


a=bqi+tn, 0~=n<=6 
b=rgq+tre, 0<r<n 
n=r2qs 二 ra, 0<ri<r 


ri Tditi 
最 后 一 个 不 为 0 的 余数 7; 就 是 a 和 2 的 最 大 公 因 子 。 
例 2.1 求 gcd(1970,1066)。 
解 : 用 欧 几 里 得 算法 进行 计算 的 过 程 如 下 。 
1970 = 1 Xx 1066 十 904 
1066 = 1 X 904 十 162 
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904 一 5X162 十 94 
162 王 1X94 十 68 
94 王 1X68 十 26 
68 一 2X26 十 16 
26 王 1X16 十 10 
16 王 1X10 十 6 


10 王 1X6 十 4 
6 三 1X4 十 2 
4 一 2X2 十 0 


因此 gcd(1970,1066) 一 2。 

下 面 给 出 欧 几 里 得 算法 的 另 一 种 等 价 形 式 。 

定理 2.4 对 任何 非 负 整数 < 和 正 整数 2, 有 gcd(a,6) 二 gcd(b,a mod 0) 。 
基于 定理 2.4, 欧 几 里 得 算法 的 过 程 描 述 如 下 (算法 中 假设 c>0>0): 


EUCLID (a,b) 
(1) Xa; Yb; 
(2) if Y=0 then return X=gcd(a,.b); 
(3) R=X mod Y:; 
(4) XY; 
(5) YR; 
(6) Goto 2。 


2.1.2 素数 


定义 2.4 设 p E2,p 宇 2, 如 果 p 的 正 因子 只 有 1 和 pp, 则 称 p 为 素数 ,否则 为 合 数 。 

由 该 定义 可 知 , 正 整数 集合 可 分 为 3 类: 素数 、 合 数 和 1。 其 中 2 属于 素数 。 

定义 2.5 车 正 整数 a 有 一 因子 56, 而 5 又 是 素数 , 则 称 5 为 a 的 素 因 子 。 

例如 12==3X4, 其 中 3 是 12 的 素 因 子 , 而 4 则 不 是 。 

定理 2.5 车 a 是 大 于 1 的 整数 , 则 a 的 大 于 1 的 最 小 因子 一 定 是 素数 。 

本 定理 说 明了 任何 大 于 1 的 整数 均 可 被 一 素数 整除 ,或 者 说 都 至 少 有 一 素 因子 。 

对 于 素数 ,具有 下 面 一 些 结论 : 

(1) 如 果 户 是 素数 , 且 plab, 则 pla 或 p16。 

(2) 对 于 任意 大 于 1 的 整数 ,都 有 唯一 分 解 式 : 

m= pr pe pe 

其 中 pi ,ps，… ,ps 均 为 素数 ,p; 二 p;(i< 站 , 且 ai 都 是 正 整 数 。 

(3) 有 无 穷 多 个 素数 。 

(4) 素数 定理 : 设 x(z) 表 示 不 大 于 的 素数 的 数目 , 则 lim(x(z)ln(z))/z 一 1。 素数 定 
理 表 明 ,对 充分 大 的 zx,r(Cz) 可 用 z/lnz 来 近似 表示 。 

定义 2.6 ”如果 整数 a 与 整数 b 的 最 大 公 因 子 是 1, 即 ged(a,6b) 二 1, 则 称 a 与 0 互 为 素 
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数 ,简称 互 素 。 

定义 2.7 设 glm) 为 小 于 或 等 于 mw 且 与 mr 互 素 的 正 整 数 个 数 , 则 称 其 为 欧 拉 (Euler) 
函数 。 

由 定义 易 知 ,p(1) 一 1,8(2) 一 1,p(3) 一 2,p(5) 一 4,p(8) 一 4。 

需要 注意 的 是 ,在 互 素 的 正 整 数 中 ,不 一 定 有 素数 。 例 如 gcd(25,36) 一 1, 但 25 和 36 
都 不 是 素数 而 是 合 数 。 

素数 有 无 穷 多 个 ,但 人 们 至 今 没有 找到 一 个 可 用 来 表示 全 体 素数 的 暂 用 公式 。 素 数 在 
自然 数列 中 的 分 布 是 很 不 规则 的 , 越 往 后 越 稀 朴 。 例 如 ,对 于 每 个 大 于 或 等 于 2 的 整数 n， 
连续 2 一 1 个 整数 nl 十 2,n1 十 3,… ,nl 十 n 都 不 是 素数 。 可 见 在 正 整数 序列 中 ,有 任意 长 的 
区 间 中 不 包含 素数 。 另 一 方面 ,任意 两 个 相 邻 的 正 整 数 n 和 十 1(n 二 3) 中 必 有 一 个 不 是 素 
数 。 相 邻 两 整数 均 为 素数 只 有 2 和 3。 但 是 n 和 十 2 均 为 素数 的 则 有 很 多 ,这 样 一 对 素数 
称 为 挛 生 素数 。 例 如 在 100 以 内 有 7 对 挛 生 素数 : (3,5)、(5,7)、(11,13)、(29,31)、 
(41,43)、(59,61) 和 (71,73) 。 


2.1.3 同 余 与 模 运 算 


1. 同 余 

用 Z 表示 正 整 数 (0,1,…,m 一 1) 的 集合 。 

定义 2.8 两 个 整数 a 和 4 分 别 被 m 除 ,如 果 所 得 的 余数 相同 , 则 称 a 与 5 对 模 m 是 同 
余 的 , 记 为 a 三 bp(mod mm) , 正 整数 m 称 为 模 数 。 

求 余 运算 a mod m 是 将 a 映射 到 集合 {0,1,…,m 一 1}) 中 , 求 余 运算 称 为 模 运 算 。 

同 余 具 有 下 面 的 性 质 。 

(1) 车 a 三 b(mod 72) , 则 和 | (5 一 a)。 反 过 来 ,车 | (0 一 a) , 则 a 三 b(mod m)。 

(2) 如 果 a 二 km 十 b(k 为 整数 ), 则 a 三 b(mod m)。 

(3) 每 个 整数 恰 与 0,1,…,m 一 1 这 mm 个 整数 中 的 某 一 个 对 模 m 同 余 。 

(4) 同 余 关 系 是 一 种 等 价 关 系 。 

(5) a 硅 b(mod m) 当 且 仅 当 a mod m= 二 b mod m。 

由 于 相对 于 某 个 固定 模 数 m 的 同 余 关系 ,是 整数 间 的 一 种 等 价 关 系 ,因此 它 具 有 等 价 
关系 的 3 个 基本 性 质 。 

(1) 自 反 性 : a 三 a(mod m)。 

(2) 对 称 性 : 车 a 三 mod m) , 则 5b 寺 a(mod m)。 

(3) 传递 性 : 车 4a 硅 b(mod m), 且 6 三 c(mod m), 则 a 三 c(mod m)。 

定理 2.6 设 a.b.c.d 为 整数 ,m 为 正 整数 , 若 a 三 b(mod m),c 三 d(mod m), 则 : 

(1) azt 二 cy 三 br 十 dy(mod m) ,zy 为 任意 整数 , 即 同 余 式 可 以 相 加 。 

(2) ac=spcd(mod m), 即 同 余 式 可 以 相 乘 。 

(3) an=bn(mod m) ,n>0。 

(4) f(a) 夺 f(b)(mod m) ,f(z) 为 任意 一 个 整 系 数 多 项 式 。 

定理 2.7 设 a,b\c\d 为 整数 ,m 为 正 整 数 , 则 : 

(1) 着 a 三 b(mod m), 且 dilm, 则 a 寺 b(mod d)。 
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(2) 车 4 三 b(mod m), 则 gcd(a,m) 二 gcd(b,m)。 

(3) a 三 b(mod mi) (1 过 i 过 n) 同 时 成 立 , 当 且 仅 当 a 寺 b(mod [ma ,mz ,zz ])。 

定理 2.8( 乘 法 消去 律 ) 对 于 ab 寺 ac(mod m) 来 说 ,车 gcd(a,m) 二 1 则 bc(mod m)。 

定理 2.9( 加 法 消去 律 ) 如 果 a 十 b 寺 a 十 c(mod m), 则 b 寺 c(mod m)。 

注意 : 加 法 消去 律 是 没有 条 件 的 ,但 乘法 消去 律 的 条 件 是 gcd(a,m) 二 1, 即 a 和 nm 互 素 。 

例如 6X3 夺 6X7 三 2 mod 8, 但 3 三 7 mod 8 不 成 立 。 

定义 2.9 由 于 模 m 同 余 关系 是 一 个 等 价 关 系 , 若 将 Z 中 同 余 的 数 归 为 一 类 ,不 同 余 的 
数 归 为 不 同 的 类 , 则 将 Z 分 为 m 个 类 , 称 为 模 m 的 剩余 类 或 同 余 类 。 

若 用 [ 门 (或 ~ mod m) 表 示 r 所 属 的 模 m 的 剩余 类 , 则 [rj]= (ili 寺 r(mod m) ,i€ 2)。 

例如 模 m 的 同 余 类 是 : 

0(mod m),1(mod m) ,mm— 1(mod m) 

定理 2.10 设 mw 记 0,[0]、[1、…、Lm 一 1j 是 模 m 的 剩余 类 , 则 : 

(1) 每 个 整数 包含 在 某 一 剩余 类 [r] 中 ,0<r<m 一 1。 

(2) 两 个 整数 a.b 属于 同一 剩余 类 , 当 且 仅 当 a 三 b(mod m)。 

定义 2.10 在 模 m 剩余 类 [0],[1],… ,Lm 一 1] 中 各 取 一 数 aowa ,wam-1, 该 m 个 数 
aosarr* ,am-! 称 为 模 m 的 一 个 完全 剩余 系 , 将 {0,1,…,m 一 1} 记 为 Z,, 称 为 模 m 的 非 负 最 
小 完全 剩余 系 。 

定义 2.11 若 模 m 剩余 类 中 的 数 与 m 互 素 , 称 它 为 与 模 闵 互 素 的 剩余 类 ,在 与 模 六 
互 素 的 所 有 剩余 类 中 各 取 一 数 所 组 成 的 集合 , 称 为 模 闷 的 一 个 简化 剩余 系 ,Q。 的 简化 剩余 
系 记 为 Zu。 。 

例 2.2 证 明 6.9、12、15、18、21、24、27 是 模 8 的 一 个 完全 剩余 系 ,而 其 中 9、15、21、27 
是 模 8 的 一 个 简化 剩余 系 。 

证 明 : 因为 6 二 6(mod 8) ,9 二 1(mod 8),12 二 4(mod 8) ,15 二 7(mod 8),18 三 2(mod 8) ， 
21 圭 5(mod 8) ,24 寺 0(mod 8),27 寺 3(mod 8), 所 以 6.9、12、15、18、21、24、27 是 模 8 的 一 个 
完全 剩余 系 。 

因为 9.15.21、27 分 别 取 自 与 8 互 素 的 所 有 剩余 类 中 ,所 以 9.15、.21、27 是 模 8 的 一 个 
简化 剩余 系 。 

定义 2.12 若 a 必 都 是 整数 ,上 且 疡 不 能 整除 < , 则 称 azr 三 6b(mod m) 为 模 m 的 一 次 同 余 
方程 。 

车 xo 满足 axo 夺 bmod mm) , 则 x 三 zo (mod m) 称 为 它 的 解 。 其 全 部 解 可 表示 为 zo 十 mk， 
k= 二 0, 土 1 , 土 2,… 

不 同 的 解 是 指 互 不 同 余 的 解 。 

定理 2.11 设 a€ 2 ,对 于 任意 的 bE€2, 同 余 方 程 az 圭 b(mod mm) 有 唯一 解 zZE Z 的 
充分 必要 条 件 是 gcd(a,m) 二 1。 

定理 2.12 设 gcdCa ,xm) 一 dx 二 0, 则 az 三 b(mod m) 有 解 , 当 且 仅 当 d16。 

2. 模 运算 

下 面 定义 了 模 mx 上 的 算术 运算 ,在 Z。 上 定义 加 法 和 乘法 ,其 运算 类 似 于 普通 实数 域 上 
的 加 法 和 乘法 ,所 不 同 的 只 是 所 得 的 值 是 去 模 后 的 余数 。 它 同样 是 可 交换 的 、 可 结合 的 、 可 
分 配 的 ,并 且 可 简化 每 一 个 中 间 结 果 的 模 m 运算 ,其 作用 与 先进 行 全 部 运算 ,然后 再 简化 模 
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m 运算 是 一 样 的 。 下 面 是 模 运 算 的 一 些 性 质 。 
(1) (atb) mod m=((a mod m)+(b mod m)) mod m. 
(2) (a—b) mod m=((a mod m)—(b mod m)) mod m. 
(3) (aXxb) mod m=((a mod m)X(b mod m)) mod m. 
(4) (aX (b+He)) mod m=((aXb) mod m)+((aXce) mod m) mod m. 
例如 : 
11 mod 8=3, 15 mod 8=7 
那么 : 
(11 mod 8) 十 (15 mod 8) mod 8= (3+7) mod 8=2 
(11 十 15) mod 8=26 mod 8=2 
在 模 运 算 中 ,加 法 单位 元 是 0,(0 十 a) mod m 二 a mod m; 乘法 单位 元 是 1, (1 Xa) mod mm 二 
a mod m, 
定义 2.13 对 a€2 ,存在 6E2 ,使 得 o 十 0Cmod m2), 则 65 是 a 的 加 法 逆 元 , 记 4= 一 a。 
定义 2.14 对 a€ 有 ,存在 bEZ ,使 得 aXb 二 1(mod mm), 则 称 5 为 a 的 乘法 逆 元 。 
加 法 一 定 存在 逆 元 ,乘法 不 一 定 存在 逆 元 。 
在 密码 学 中 ,特别 是 非 对称 密 码 体制 中 ,常常 需要 求 模 逆 元 , 求 模 逆 元 就 是 求 乘法 逆 元 。 
即 寻 找 一 个 zx, 使 得 aXzx 三 1 mod m 成 立 。 
上 式 也 可 以 写 为 1 三 (aXx) mod m 或 者 a 三 z(Cmod m)。 
例如 ,寻找 一 个 < 使得: 


4Xz 三 1Cmod7) 

这 个 方程 等 价 于 寻找 一 组 工 和 A, 使 4z 一 7A 十 1, 其 中 xx 和 A 均 为 整数 。 

求 模 逆 元 问题 很 困难 ,有 时 有 结果 ,有 时 没 有 结果 。 一 般 来 说 ,如 果 a 和 mm 互 素 ,那么 
a ! 三 rT(mod m) 有 了 唯一 解 ; 如 果 a 和 mm 不 是 互 素 的 ,那么 o 三 zCmod m) 没 有 解 。 如 果 m 
是 一 个 素数 ,那么 1 一 m 一 1 的 每 一 个 数 与 m 都 是 互 素 的 , 且 在 这 个 范围 内 恰好 有 一 个 逆 元 。 
利用 扩展 欧 几 里 得 算法 能 够 计算 出 模 逆 元 。 

图 2.1 是 模 8 运算 的 例子 。 从 图 2. 1 可 以 发 现 , 模 8 的 加 法 和 乘法 运算 与 普通 运算 一 
样 ,只 是 将 所 得 的 值 再 进行 模 8 运算 即 可 。 在 图 2.1(c) 中 ,对 每 一 个 工 都 有 一 个 对 应 的 y， 
使 得 z+ 十 y 三 0 mod 8, 则 y 是 xz 的 加 法 逆 元 。 如 对 2, 有 6, 使 得 2 十 6 圭 0 mod 8, 那 么 6 是 2 的 
加 法 逆 元 。 如 果 对 x, 存在 y, 使 得 xXy 三 1 mod 8, 则 y 为 z 的 乘法 逆 元 。 如 3X3 三 1 mod 8， 
因此 3 的 乘法 逆 元 是 3。 
十 


0 123 4 56 7 x 01 2 34 567 a —aa 
ololi1|l2|3|4|5|6|7 ojolololololololo 6 || 一 
1|1|2|3|4|5|6|7|o0 1|o|1|2|3|4|5|6|7 轴 医 尖 攻 ] 
2|2|3|4|5|6|7|o|1 2|0|2|4|6|o|2|4|156 2 |6 | 一 
3|3|4|5|6|7|0o0|1|2 3|0|3|6|1|4|7|2|15 3|5|3 
4|4|5|6|7|o|1|2|3 4|0|4|o|4|o|4|o|4 生生 | 一 
5|5|6|7|o|1|12|3|4 5|0|5|2|7|4|1|6|3 5|3|5 
6|6|7|o|1|12|3|4|5 6|0|6|4|2|o|6|4|2 人 | 本 | 一 
7|7|o|11|12|13|14|5|146 7|0|17|6|5|4|3|2|1 区 本 区 

(a) 模 8 加 法 (b) 模 8 乘法 (oO 模 8 的 加 法 逆 元 和 乘法 逆 元 


图 2.1 模 8 运 算 
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3. 扩展 欧 几 里 得 算法 

扩展 欧 几 里 得 算法 不 仅 能 够 确定 两 个 正 整 数 的 最 大 公 因子 ,如 果 这 两 个 正 整数 互 素 ,还 
能 确定 它们 各 自 的 逆 元 。 如 果 整 数 mw 宇 0,gcd(d,m) 王 1, 那么 4d 有 一 个 模 m 的 乘法 逆 元 。 
用 扩展 欧 几 里 得 算法 求 模 逆 元 的 描述 如 下 。 


Extended EUCLID (dm) 
(1) (Xi, Xs, X31,0,m)s (YisYs ,Ys)<(0,1,d)。 
(2) 如 果 Ys:=0 返回 X; 二 gcd(d,m); 无 逆 元 。 
(3) 如 果 Ys:=1 返回 Y= 二 gcd(d,m); Y: 一 d mod m。 
(4) (Q=| X;/Ys (Lz 庆 示 取 z 的 整数 部 分 ) 。 
(5) (Ti ,T ,Ts)< 一 (X 一 QY ,X: 一 QY ,Xs 一 QYs: ) 。 
(6) (Xi, Xs, Xs3)<—(Y,Y,,Y,)., 
(7) (Yi,Y2 ,Ys)<—(T,T,,T,)., 
(8) 返回 (2)。 


算法 运行 的 最 后 结果 的 Ys 是 最 大 公 因子 ,Y, 是 d 的 模 m 逆 元 。 
例 2.3 用 扩展 欧 几 里 得 算法 求 gcd(550,1769) 和 550 : mod 1769。 
解 : 计算 过 程 如 表 2. 1 所 示 。 

表 2.1 用 扩展 欧 几 里 得 算法 求解 最 大 公 因 子 和 模 送 元 过 程 


循环 次 数 0 和 汪 WI wy Tn 

初始 值 - 1 0 1769 0 1 550 
1 3 0 1 550 1 —3 119 
2 4 1 一 3 119 一 4 13 74 
3 1 一 4 13 74 5 一 16 45 
4 1 5 一 16 45 一 9 29 29 
5 1 一 9 29 29 14 一 45 16 
6 1 14 一 45 16 一 23 74 13 
7 1 一 23 74 13 37 一 119 3 
8 4 37 一 119 3 | =171 550 


可 见 gcd(550,1769) 王 1,550 : mod 1769 王 550, 即 550X550 夺 1] mod 1769。 
4. 快速 指数 模 运 算 
在 非 对 称 密码 体制 ( 公 钥 密码 体制 ) 中 常常 涉及 指数 模 运算 ,如 计算 73 mod 37。 直 接 
计算 73 的 327 次 方 后 再 模 37 肯定 不 行 。 一 种 方法 是 利用 前 面 介 绍 的 模 运 算 性 质 
(axpb) mod z= 王 (Ca mod m)X(b mod m)) mod m, 将 指数 模 运算 看 做 是 多 次 重复 乘法 ,并 
且 在 计算 中 间 结 果 时 就 取 模 。 可 以 进行 类 似 变 换 : a* mod m= 二 ((a mod m)*) mod m。 
例如 : 计算 117 mod 13 ,可 以 按照 下 面 的 思路 。 
11*=121 二 4 mod 13 
11:=(11)2=4*mod 13 三 3 mod 13 
11’=11X11*X11==]1]1X4X3 mod 13==132 mod 13=2?2 mod 13 
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上 面 的 方法 计算 一 个 大 整数 的 大 整数 次 寡 还 是 比较 麻烦 的 ,下 面 介 绍 两 种 快速 求 指数 
1) 快速 求 m* mod n 算 法 1 


快速 求 m* mod n 算 法 1 
(1) a<e,b<-m,c<-1, 其 中 4、b.c 为 三 大 整数 寄存 器 。 
(2) 如 果 a 二 0, 则 输出 结果 c 即 为 所 求 的 模 n 的 大 整数 次 宕 。 
(3) 如 果 a 是 奇数 , 转 第 (5) 步 。 
(4) a<-(a 二 2),b<-(bXb) mod n, 转 第 (3) 步 。 
(5) a<-(a 一 1),c<-(cX6b) mod n, 转 第 (2) 步 。 


例 2.4 计算 30” mod 77。 
解 : 在 实际 应 用 中 ,可 以 将 上 面 的 算法 转换 为 表格 的 形式 进行 求解 。 计 算 过 程 如 表 2. 2 
所 示 。 
表 2.2 快速 计算 30” mod 77 的 过 程 


a b v 

37 30 1 

36 与 前 一 次 值 相同 (30X1) mod 77=30 
18 (30X30) mod 77=53 与 前 一 次 值 相同 

9 (53X53) mod 77=37 与 前 一 次 值 相同 

8 与 前 一 次 值 相同 (37X 30) mod 77 一 32 
4 (37X37) mod 77=60 与 前 一 次 值 相同 
(60X60) mod 77=58 与 前 一 次 值 相同 
(58X58) mod 77 一 53 与 前 一 次 值 相同 

0 与 前 一 次 值 相 同 (53X32) mod 77=2 


由 最 后 一 行 可 知 ,c==2, 即 30” mod 77==2。 
2) 快速 求 m* mod n 算法 2 
将 e 表示 为 二 进 制 形式 5bib4…bo, 即 e 二 》)2 和 ,将 e 代 入 m" 中 ,可 得 : 


bz0 
me’ 一 [Iw 
Ce 
因此 m* mod 7 一 (I ) mod 7 一 To mod n) 
Ce G0 


快速 求 m* mod n 算法 2 
(1) d=1; 
(2) for i=k downto 0 do 
d=(dXd) mod n; 
i{ 6;=1 then d= (dXm) mod ns; 
(3) return d; 
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算法 中 最 后 的 d 即 为 所 求 值 。 
例 2.5 计算 75 mod 561 。 
解 : 将 560 表示 为 1000110000 ,算法 的 中 间 结 果 如 表 2. 3 所 示 。 


表 2.3 快速 计算 7”mod 561 的 过 程 


i 9 8 7 6 5 4 3 2 1 0 
b; 1 0 0 0 Y 1 0 0 0 0 
d 1 7 49 157 526 160 241 298 166 67 1 


所 以 75% mod 561 二 1。 


2.1.4 费 马 定 理 和 欧 拉 定 理 


费 马 定理 和 欧 拉 定 理 在 公 钥 密码 体制 中 占有 非常 重要 的 地 位 。 
定理 2.13( 费 马 定 理 Format) 若 p 是 素数 ,有 晶 a 是正 整数 , 且 gcd(a,p) 二 1, 则 : 
ai = 1(mod p) 
例如 : 当 
a=7,p=19,gcd(a.p)=1 
7:=49 二 11 mod 19 
7!=121 mod 19=7 mod 19 
7 三 49 mod 19=1]1 mod 19 
7% 寺 121 mod 19 二 7 mod 19 
ai !=7*=7* X7:=7X1]1 mod 19=1 mod 19 
费 马 定理 也 常常 称 为 费 马 小 定理 。 费 马 定理 的 另 一 种 表示 形式 如 下 。 
费 马 定理 推论 : 设 p 是 素数 ,对 于 任意 正 整 数 a,a? 寺 a(mod p)。 
注意 费 马 定 理 的 推论 不 要 求 a 和 pp 互 素 。 
例如 , 当 a==10,p==5,gcd(a,p) 二 5,a 和 不 互 素 ,但 : 
a?=10’=10 mod 5=0 mod 5=a(mod p) 
前 面 我 们 已 经 给 出 了 欧 拉 (Euler) 函数 pg(n) 的 定义 。 
当 n==1 时 ,gp(1) 二 1; 当 n 之 1 时 , 它 的 值 p(n) 等 于 比 n 小 而 与 n 互 素 的 正 整 数 的 个 数 。 
如 当 ? 一 24 时 , 比 24 小 而 与 24 互 素 的 正 整 数 为 1,5,7,11,13,17,19,23。 因 此 ,可 得 
9(24) 一 8。 
欧 拉 (Euler) 函 数 g(n) 具 有 以 下 性 质 : 
(1) 如 果 是 素数 , 则 p02) 二 n 一 1, 因 为 与 互 素 的 数 有 1,2,3,…,n 一 1。 
(2) 如 果 gcd(Cmz sz) 一 1, 则 op(C7272) 一 PC72) 。 
(3) 如 果 ?一 p22… ps 是 nn 的 一 个 典型 分 解 式 , 则 gl(n)==n(1 一 1/P1) (1 一 1/P,)… 
(1 一 1/P,) ,其 中 pi ,ps，… ,pm 均 为 素数 。 
(4) gp(pq)=p(p)X yq), 
例如 wp(21) 一 p(3X7) 一 p(3)p(7) 一 2X6 一 12, 这 12 个 数 是 1,2,4,5,8,10,11,13,16， 
17,19,20。 
(5) 假设 有 两 个 素数 p 和 g, 那 么 对 于 n 王 pg, 有 glm) 二 g(pq) 一 pg(p)Xg(g) 二 (p 一 D(g 一 1)。 
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(6) n 二 pr ,并 且 p 是 素数 时 ,有 yg(n) 二 p(p 一 1)。 

(7) 车 p 是 素数 , 则 pg(p)=p' 一 pr!。 

定理 2. 14( 欧 拉 定理 ) ”对 于 任何 互 素 的 两 个 整数 a 和 ,有 : 

ar =1 modn 

例如 : 

。 当 a=3,n 二 10; p(10) 一 4,ar =3‘=81 二 1] mod 10 一 1 mod n 

。 当 a=2,n=11; 9(11) 10,aro =3"=1024=] mod 11=1 modn 

对 于 欧 拉 定理 ,有 : 

(1) 当 n==p 时 ,有 a* ! 二 1 mod p, 为 费 马 定理 。 

(2) 易 见 ago 三 wa mod n( 欧 拉 定 理 的 另 一 种 形式 ,不 要 求 a 和 nn 互 素 )。 

例 2.6 求 13”" 被 60 除 所 得 的 余数 。 

解 : 因为 gcd(13,60)=1, 所 以 13*59 二 1(mod 60)。 因 为 9(60) 一 (22X3X5) 一 2XX 
(3 一 1)X(5 一 1) 王 16, 而 2001 王 125X16 十 1, 所 以 13 三 1(mod 60),13”1 二 (13%)!”X 
13 三 13(mod 60) , 即 被 60 除 所 得 的 余数 为 13。 


2.1.5 素性 测试 


很 多 密码 算法 需要 随机 选择 一 个 或 者 多 个 非常 大 的 素数 。 在 实际 应 用 中 ,一 般 做 法 是 
先生 成 大 的 随机 整数 ,然后 确定 该 大 数 是 否 是 素数 。 目 前 还 没有 简单 有 效 的 方法 确定 一 个 
大 数 是 否 是 素数 。 下 面 介绍 Miller-Rabin 的 素性 概率 检验 法 。 

定理 2.15 如 果 p 为 大 于 2 的 素数 , 则 方程 x’ 三 1(mod p) 的 解 只 有 z=1 和 xz 一 一 1。 

定理 2. 15 的 逆 否 命题 是 : 如 果 方 程 x* 寺 1(mod p) 有 一 个 解 z。# {一 1,1) ,那么 pp 不 是 
素数 。 

下 面 是 MillerRabin 算法 核心 部 分 。 


WITNESSCa,z) 
(1) 将 (2 一 1) 表 示 为 二 进 制 形式 wp po; 
(2) d<-1 
fori=k downto0 dol 
red; 
d<—(dXd) mod n; 
if(d=1 & xz 天 1 & zr#n—1) then return TRUE; 
if b;=1 then d<—(dXa) mod n} 
if dA1 then return TRUE; 
else return FALSE; 


算法 有 两 个 输入 ,n 是 持 检验 的 数 ,a 是 小 于 nn 的 整数 。 如 果 算 法 的 返回 值 为 TRUE， 
则 n 肯定 不 是 素数 ,如 果 返 回 值 为 FALSE, 则 nn 有 可 能 是 素数 。 

for 循环 后 ,有 d= 二 a”!' mod 2 由 费 马 定理 可 知 , 若 7 为 素数 , 则 4d 为 1, 因 此 若 & 和 1, 则 
nn 不 是 素数 ,所 以 返回 TRUE。 

因为 n 一 1 圭一 1 mod n, 所 以 x 关 1,x 关 n 一 1, 表 示 x? 寺 1(mod p) 有 不 在 {一 1,1} 中 的 
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根 ,因此 不 为 素数 ,返回 TRUE。 

该 算法 有 以 下 的 性 质 : 对 s 个 不 同 的 a, 重复 调用 这 一 算法 ,只 要 有 一 次 算法 返回 为 
TRUE, 就 可 以 确定 n 不 是 素数 ,如 果 算 法 每 次 返回 都 为 FALSE, 则 n 是 素数 的 概率 至 少 为 
1 一 2“, 因 此 对 于 足够 大 的 ,就 可 以 非常 肯定 地 相信 是 素数 。 


2.1.6 中 国 剩余 定理 


中 国 剩余 定理 是 数论 中 最 有 用 的 定理 之 一 ,该 定理 说 明了 如 果 已 知 某 个 数 关 于 一 些 两 
两 互 素 的 数 的 同 余 类 集 ,就 可 重 构 这 个 数 。 

例如 Zio( 共 10 个 数 , 即 1,2,…,10) 中 的 每 个 数 可 通过 它们 对 2 和 5(10 的 两 个 素 因 
子 ) 取 模 所 得 的 两 个 余数 来 重 构 。 假 设 已 知 十 进 制 数 xz 的 余数 7 二 0 且 rs 二 3, 即 x mod 2 二 0 
且 mod 5 二 3, 则 知道 x 是 Zw 中 的 偶数 , 且 被 5 除 后 余数 是 3, 所 以 可 得 8 是 满足 这 一 关系 
的 唯一 的 z。 

定理 2.16( 中 国 剩余 定理 ) ” 设 mi ,ms，… ,mx 是 两 两 互 素 的 正 整数 , 令 : 

M= mm m=mM m2» M; = me Mi 
上 式 中 M; 二 M/misi 王 1,2,…,k, 则 同时 满足 以 下 同 余 方 程 组 
I 三 b; modm; (i= 1,2,.,k) 


的 唯一 正 整 数 解 是 zo: 
Zo (Mi AM +b MM tt tb MM) mod M 
上 式 中 M: 是 满足 同 余 方程 
MiM;=1 mod m;: (一 1,2，…,) 
的 正 整数 解 , 即 M: 是 M; 以 mm 为 模 的 逆 元 。 
例 2.7 求解 满足 以 下 方程 的 解 x。 


rz 三 1] mod 2 


Xr 三 2 mod 3 
TX 三 3 mod 5 
Xr 三 5 mod 7 
解 : M=mmzmsm = 二 2X3X5X7=210,Mi==105,M;==70,M,==42,M==30, 用 扩展 
欧 几 里 得 定理 可 以 求 Mi' mod 2 三 1,M: : mod 3 三 1,M;' mod 5 三 3,M; : mod 7 三 4, 所 以 
x mod 210 寺 (1 X105X1 十 2X70X1 十 3X42X3 十 5 X30X4) mod 210 寺 173, 或 者 写成 
ZX 三 173 mod 210。 


2.1.7 离散 对 数 

离散 对 数 是 许多 公 钥 算法 的 基础 。 在 给 出 离散 对 数 定义 之 前 ,我 们 先 对 本 原 根 这 一 个 
重要 概念 进行 描述 。 

1. 本 原 根 

欧 拉 定理 告诉 我 们 ,对 于 任何 互 素 的 两 个 整数 a 和 nn, 有 : 

ar =1 modn 

如 果 a 和 nn 互 素 , 则 至 少 有 一 个 整数 骏 , 使 加 二 p(n), 所 以 欧 拉 定 理 更 一 般 的 表示 形 

式 为 : 
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an = 三 1mod7 
定义 2.15 假设 gcd(a,n) 二 1, 如 果 m 是 使 
a” 三 1] modn 
成 立 的 最 小 正 整数 , 则 称 它 是 a 对 模 n 的 指数 , 记 为 Ordua 。 
定义 2.16 若 Orda 王 g(m), 则 称 a 是 模 n 的 本 原 根 (Primitive Root) ,也 称 生成 元 。 
定理 2.17 车 a 是 模 n 的 本 原 根 , 则 1,a ,a? ,…,a”” 构 成 模 的 简化 镜 余 系 。 
例 2.8 求 模 7 和 模 15 的 本 原 根 。 


解 : 对 于 模 7 而 言 ,满足 gcd(e,z)=1 的 wa 是 {1,2,3,4,5,6}, 它 们 的 指数 如 表 2. 4 
所 示 。 
表 2.4 指数 列表 1 
a 2 1 4 5 6 
Ord;a 昌 3 6 8 6 2 


从 表 2.4 可 以 看 到 , 当 a 是 3 和 5 时 ,Ordra 二 g(7), 因 此 ,3 和 5 是 模 7 的 本 原 根 。 
对 于 模 15 而 言 ,满足 gcdCa,n) 二 1 的 a 是 {1,2,4,7,8,11,13,14), 它 们 的 指数 如 表 2. 5 
所 示 。 


表 2.5 指数 列表 2 
a i 2 4 7 8 11 13 14 
Orda 4 2 4 4 2 4 


表 2. 5 中 不 存在 一 个 wa 使 Ordisa 王 wp(15) ,所 以 模 15 没有 本 原 根 。 
上 面 的 例子 说 明了 不 是 所 有 整数 都 有 本 原 根 。 
定理 2.18 模 m 的 本 原 根 存在 的 必要 条 件 是 m 二 2,4,p" ,或 者 2p" ,此 处 p 是 奇 素数 。 
2. 本 原 根 的 测试 
通常 找 出 一 个 本 原 根 不 是 一 件 容易 的 问题 ,然而 ,如 果 知 道 p 一 1 的 因子 , 它 就 变 得 容 
易 了 。 令 gg，…'d 是 p 一 1 的 素 因 子 , 对 于 所 有 的 o ,0 ,dg ,计算 ac 2 (mod p) ,如 
果 对 某 个 4 的 某 个 值 其 结果 为 1, 那么 不 是 一 个 本 原 根 。 如 果 对 某 个 4 的 所 有 值 其 结果 都 
不 为 1, 那 么 a 是 一 个 本 原 根 。 
例 2.9 假设 p=11, 检 验 2 和 3 是否 是 一 个 本 原 根 。 
解 : 当 p 二 11 时 ,p 一 1 二 10,p 一 1 有 两 个 素 因子 2 和 5, 现 测试 2 是 否 是 一 个 本 原 根 。 
2 Ds (mod 11) 一 4 
2 D2 (mod 11)=10 
计算 结果 没有 1, 所 以 2 是 本 原 根 。 
测试 3 是 否 是 本 原 根 : 
39" 02465(mod 11)=9 
390" 2/ (mod 11) 一 1 
所 以 3 不 是 本 原 根 。 
3. 离散 对 数 
模 运 算 用 于 指数 计算 可 以 表示 为 a* mod ,我 们 称 为 模 指数 运算 。 模 指数 运算 的 逆 间 
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题 就 是 找 出 一 个 数 的 离散 对 数 , 即 求解 ,使 得 : 
a* =b modn 

定义 2.17( 离 散 对 数 ) ”对 于 一 个 整数 b 和 素数 的 一 个 本 原 根 a, 可 以 找到 唯一 的 指 
数 工 ,使 得 6 二 a” mod ,其 中 0 和 xz 入 2 一 1 ,指数 工 称 为 2 的 以 a 为 基数 的 模 n 的 离散 对 数 。 
例如 ,如 果 素数 n==11, 有 3 个 本 原 根 2.6、8。 

当 a 一 2,z 一 9, 可 以 求 出 模 数 0 一 6 。 

当 a 一 6,z 一 7, 可 以 求 出 模 数 0 一 8。 

当 一 8,z 一 4, 可 以 求 出 模 数 6 一 4。 

当 一 2,0 一 3, 可 以 求 出 离散 对 数 zx 一 8。 

当 a 二 6,6 二 5, 可 以 求 出 离散 对 数 zx 一 6 。 

当 a 二 8,6 二 10, 可 以 求 出 离散 对 数 z= 二 5。 

不 是 所 有 的 离散 对 数 都 有 解 。 当 n 比较 小 时 ,容易 验证 x 是 否 有 人 解 ,但 是 当 n 很 大 时 
(如 1024 位 ), 求 离散 对 数 就 会 很 难 了 。 


2.1.8 二 次 剩余 


定义 2.18( 二 次 剩余 ) 如 果 gcd(a,m)= 二 1, 并 且 x 三 a(mod m) 有 解 , 则 称 a 是 m 的 二 
次 剩余 (也 称 平方 剩余 ) ,否则 , 称 a 是 m 非 二 次 剩余 。 满 足 x 二 a(mod m) 的 xz 称 为 模 m 的 
一 个 平方 根 。 

例如 ,车 ==7, 模 m 的 完全 剩余 集合 为 {1,2,3,4,5,6)。 

XZ! 三 1] mod 7 有 解 ,z 王 1,z 王 6。 

Xx! 三 2 mod 7 有 解 ,zx 一 3,z 一 4。 

ZX! 三 3 mod 7 无 解 。 

Xx: 三 4 mod 7 有 解 ,z 一 2,z 一 5。 

ZX!: 三 5 mod 7 无 解 。 

ZX! 三 6 mod 7 无 解 。 
可 见 1,2、4 共 3 个 数 是 模 7 的 二 次 剩余 ; 3、5、6 是 模 7 的 非 二 次 剩余 。 

二 次 剩余 具有 下 面 的 性 质 。 

(1) 如 果 m 是 素数 , 则 整数 1,2,…,m 一 1 中 正好 有 (mm 一 1)72 个 是 模 m 的 二 次 剩余 ,其 
余 的 (mm 一 1)/2 个 是 模 m 的 非 二 次 剩余 。 

(2) 如 果 是 a 的 模 m 一 个 二 次 剩余 ,那么 a 恰好 有 两 个 平方 根 ,其 中 一 个 在 0~Gm 一 1)/2 
之 间 ; 另 一 个 在 (m 一 1)/2 一 (m 一 ]) 之 间 。 

(3) 如 果 m 是 两 个 素数 p 和 g 之 积 , 那 么 模 m 恰好 有 ((p 一 1)(g 一 1)/4) 个 二 次 剩余 ， 
有 (3(p 一 1)(g 一 1)/4) 个 非 二 次 剩余 。 

(4) 当 m 是 复合 数 时 ,如 果 m 的 分 解 未 知 , 则 求 方 程 z? 寺 a(mod m) 的 解 是 很 困难 的 。 


2.2 代数 基础 


有 限 域 在 现代 密码 学 中 的 地 位 越 来 越 重要 ,本 节 先 简单 介绍 群 、 环 和 域 等 概念 ,然后 详 
细 介 绍 有 限 域 中 的 运算 。 
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2.2.1 群 和 环 


1. 群 

群 G 有 时 记 做 {G,。} ,是 定义 了 一 个 二 元 运算 的 集合 ,这 个 二 元 运算 可 以 表示 为 。( 它 
具有 一 般 性 ,可 以 指 加 法 、 乘 法 或 者 其 他 的 数学 运算 ),G 中 每 一 个 序 偶 (a,5) 通 过 运算 生成 
G 中 的 元 素 (a* 5) ,并 满足 以 下 公理 。 

(Al1) 封闭 性 : 如 果 a 和 4。 都 属于 G, 则 a* 5 也 属于 G。 

(A2) 结合 律 : 对 于 G 中 任意 元 素 a .bc, 都 有 a*(b，c) 二 (a*5)。c 成立。 

(A3) 单位 元 : G 中 存在 一 个 元 素 e ,对 于 G 中 任意 元 素 4a ,都 有 a*e 二 e* a 二 a 成立 。 

(A4) 逆 元 : 对 于 G 中 任意 元 素 a,G 中 都 存在 一 个 元 素 a ,使 得 式 a* a’==a” * a=e 
成 立 。 

如 果 一 个 群 的 元 素 个 数 是 有 限 的 , 则 该 群 称 为 有 限 群 。 并 且 群 的 阶 等 于 群 中 元 素 的 个 
数 。 否 则 , 称 该 群 为 无 限 群 。 

一 个 群 如 果 还 满足 以 下 条 件 , 则 称 该 群 为 交换 群 ( 或 称 Able 群 ) 。 

(A5) 交换 律 : 对 于 G 中 任意 的 元 素 a,0, 都 有 a* 4b 二 b，a 成 立 。 

例如 ,在 加 法 运算 下 的 整数 集合 是 一 个 交换 群 , 在 乘法 运算 下 的 非 零 实数 集合 是 一 个 交 
换 群 。 当 群 中 运算 符 是 加 法 时 ,其 单位 元 是 0,a 的 道 元 是 一 a, 并 且 减 法 用 以 下 的 规则 定义 : 
Q& 一 0 一 4 十 (一 0) 。 

剩余 类 集合 Z, 关于 模 n 加 法 运算 形成 了 一 个 阶 为 的 加 法 群 。2Z, 关于 模 n 乘法 运算 
不 是 一 个 群 ,因为 不 是 所 有 的 元 素 都 有 乘法 逆 。 

在 群 中 定义 求 寡 运算 为 重复 运用 群 中 的 运算 ,如 o=a。，a，a, 且 定义 o=e 为 单位 元 ， 
并 且 o “二 (a')"。 如 果 群 中 的 每 一 个 元 素 都 是 一 个 固定 元 素 c(cECG) 的 过 a*(k 为 整数 )， 
则 称 群 G 是 循环 群 。 我 们 认为 元 素 a 生成 了 群 G, 或 者 说 a 是 群 G 的 生成 元 。 循 环 群 总 是 
交换 群 , 它 可 能 是 有 限 群 或 者 无 限 群 。 

2. 环 

环 R 有 时 记 为 {R, 十 ,X), 是 一 个 有 两 个 二 元 运算 的 集合 ,这 两 个 二 元 运算 分 别称 为 加 
法 和 乘法 , 且 对 于 R 中 的 任意 元 素 a、b\c, 满 足以 下 公理 。 

(Al 一 A6) R 关于 加 法 是 一 个 交换 群 ; 也 就 是 说 ,R 满足 所 有 从 Al 一 A5 的 原则 。 对 于 
此 种 情况 下 的 加 法 群 ,我 们 用 0 表示 其 单位 元 ,一 a 表示 a 的 逆 元 。 

(M1) 乘法 的 封闭 性 : 如 果 a 和 4b 都 属于 民 , 则 ab 也 属于 R。 

(M2) 乘法 的 结合 律 : 对 于 R 中 任意 元 素 a bc,a(bc) 二 (ab)c 成 立 。 

(M3) 分 配 律 : 对 于 R 中 任意 元 素 a bc, 式 a(b 十 c)= 二 ab 十 ac 和 式 (e 十 b)c 一 ac 十 pc 总 
成 立 。 

从 本 质 上 说 , 环 就 是 一 个 集合 ,我 们 可 以 在 其 上 进行 加 法 、 减 法 和 乘法 ,而 不 脱离 该 

-A 
环 如 果 还 满足 以 下 条 件 则 称 其 为 交换 环 。 
(M4) 乘法 的 交换 律 : 对 于 R 中 的 任意 元 素 a 和 4, 有 ab 二 ba 成 立 。 
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在 交换 环 的 基础 上 ,满足 以 下 公理 的 环 叫做 整 环 。 

(M5) 乘法 单位 元 : 在 R 中 存在 元 素 1, 使 得 对 于 R 中 的 任意 元 素 4, 有 al 二 la=a 
成 立 。 

(M6) 无 零 因子 : 如 果 有 R 中 元 素 4a 和 4, 且 cp 一 0, 则 必 有 < 一 0 或 2 一 0。 

例如 在 整数 集合 Z 中 ,通常 的 加 法 和 乘法 运算 会 形成 一 个 交换 环 。Z 关于 模 n 加 法 和 
乘法 形成 一 个 交换 环 。 


2.2.2 域 和 有 限 域 


1. 域 

域 下 有 了 时 记 为 {F, 十 ,X}), 是 有 两 个 二 元 运算 的 集合 ,这 两 个 二 元 运算 分 别称 为 加 法 和 
乘法 , 且 对 于 下 中 的 任意 元 素 a、bc, 满 足以 下 公理 。 

(Al 一 M6) 下 是 一 个 整 环 ,也 就 是 说 下 满足 从 Al~A5 以 及 从 M1 一 M6 的 所 有 原则 。 

(M7) 乘法 逆 元 : 对 于 下 中 的 任意 元 素 a( 除 0 以 外 ) ,F 中 都 存在 一 个 元 素 a ! ,使 得 式 
aa 一 (a-1)a 王 1 成 立 。 

从 本 质 上 说 , 域 就 是 一 个 集合 ,我 们 可 以 在 其 上 进行 加 法 ,减法 .乘法 和 除法 而 不 脱离 该 
集合 。 除 法 又 按 以 下 规则 来 定义 : a/5 二 a(b7!1)。 如 有 理 数 集合 、 实 数 集合 和 复数 集合 都 是 
域 ,但 整数 集合 不 是 ,因为 使 用 除法 得 到 的 分 数 已 经 超出 了 整数 集合 。 

根据 域 中 元 素 的 个 数 是 不 是 有 限 ,我 们 可 以 把 域 划分 成 有 限 域 和 无 限 域 。 无 限 域 在 密 
码 学 中 没有 特别 的 意义 ,然而 有 限 域 却 在 许多 密码 编码 学 中 扮演 着 重要 的 角色 。 

定义 2.19 有 限 域 中 元 素 的 个 数 称 为 有 限 域 的 阶 。 

定理 2.19 有 限 域 的 阶 必 为 素数 p 的 短 p".n 为 正 整 数 。 

定理 2.20 对 任意 素数 p 和 正 整 数 n ,存在 加 阶 的 有 限 域 , 记 为 GF(p")。 当 时 n=1， 
有 限 域 GF(p) 也 称 素 域 。 

在 密码 学 中 ,最 常用 的 域 一 般 是 素 域 GF(p) 或 者 阶 为 2” 的 GF(2") 域 。 

2. 有 限 域 GF(p) 

给 定 一 个 素数 p, 元 素 个 数 为 p 的 有 限 域 GF(p) 定 义 为 整数 (0,1,…,p 一 1) 的 集合 Z，， 
其 运算 为 模 p 的 算术 运算 。 

在 第 2. 1. 3 节 中 我 们 发 现 , 由 个 整数 构成 的 集合 Z, 在 模 n 算术 运算 下 ,构成 一 个 交 
换 环 。 但 Z, 中 不 是 每 个 元 素 都 有 乘法 逆 元 ,只 有 当 一 个 整数 与 互 素 时 ,该 整数 才 存 在 乘 
法 逆 元 。 若 为 素数 , 则 Z, 中 所 有 的 非 零 整数 都 与 4 互 素 ,因此 Z, 中 所 有 非 零 整数 都 有 乘 
法 逆 元 。 在 GF(p) 定 义 的 集合 Z。 中 ,由 于 p 是 素数 ,可 见 Z 是 一 个 有 限 域 。 

最 简单 的 有 限 域 是 GF(2) ,该 域 元 素 的 个 数 是 2, 它 们 分 别 是 0 和 1, 在 GF(2) 上 的 加 运 
算 等 价 于 异 或 运算 , 乘 等 价 于 逻辑 与 运算 。 

图 2. 2 是 在 有 限 域 GF(7) 中 的 算术 运算 ,这 是 一 个 阶 为 7, 采 用 模 7 运算 , 它 满足 域 的 
所 有 性 质 。 需 要 注意 的 是 ,前 面 介绍 的 图 2. 1 只 是 表示 集合 Zs 中 模 8 运算 ,其 中 的 非 零 整 
数 不 一 定 有 乘法 逆 元 ,因此 不 是 域 。 
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0 0 时 “ 3 4 5 6 0 0 0 0 0 0 0 0 0 | 
可 医 副 医 吉 医 到 区 可 区 河 区 汉 攻 5 下 区 本 医 一 医 到 医 下 区 可 医 玛 区; 1|1611 
二 医 汉 医 避 区 可 医 引 区 司 医 避 区 “ 避 区 司 医 汉 区 避 区 避 攻 下 区 司 隔 医 恒 辽 : 
避 医 下 医 司 医 到 医 司 区 司 医 到 医 3 < 区 习 医 到 区 到 区 天 区 训 区 加 松 : 3|4|5 
la4|lslelo|li|l2|s 4|1o0ol4|1|5|216|s 4|3|2 
可 医 汉 区 本 区 可 医 帮 区 汉 医 芭 医 避 攻 避 医 训 医 到 医 避 医治 医 司 四 EE 
司 区 司 区 司 区 国医 必 医 司 匠 避 区: 6|o|l6|l5|14|1s|211 6|1|56 
(a) 模 7 加 法 (b) 模 7 乘法 (c) 模 7 的 加 法 道 元 和 乘法 逆 元 
图 2.2 GF(7) 中 算术 运算 
3. 域 上 多 项 式 
定义 2.20 域 玉 上 的 n(n 宇 0) 次 多 项 式 表示 为 : 
n 
f(z) 一 az 十 aa 十 … 十 az 十 ao 一 QiT 


其 中 系数 a; 是 域 下 中 的 元 素 。 
若 wu 天 0, 称 7 为 该 多 项 式 的 次 数 , 并 称 w 为首 项 系数 。 首 项 系数 为 1 的 多 项 式 称 为 首 1 
多 项 式 。 域 下 上 z 多 项 式 全 体 集 合 记 为 FLz]。 


多 项 式 运算 包括 加 法 `\ 减 法 ,乘法 和 除法 . 设 域 民 上 的 多 项 式 e(z) = wzrf 和 多 项 式 
bz) = 六 wz: 那么 在 域 下 上 的 多 项 式 加 法 运算 定义 为 ， 


M 
a(z) 十 6(z) = Da' to 


其 中 ,M==max(m,70), 当 i 之 n 时 , 取 a;==0; 当主 内 时 , 取 访 =0。 
乘法 运算 定义 为 : 


a 


a(z) Xb(z) = >， ( i j 
0 =0 


i=0 \j 
其 中 , 当 i>n 时 , 取 a;==0; 当 i>m 时 , 取 b==0。 

例如 , 令 a(z)=z 十 zx? 十 2,b(z)= 工 一 zx 十 1, 则 : 

diy oR) 2 = 

aln)—B(z)=z: z+1 

az)Xb(z) 一 z5 十 3z2 一 2z 十 2 

定理 2.21 设 e(Cz) 和 2%(z) 是 域 下 上 的 多 项 式 , 且 6Cz) 天 0, 则 存在 唯一 的 一 对 多 项 式 
dqCz),rCz)EFCzr) ,使 : 


ar) = g(x)b(zx)+r(z) 
其 中 q(x) 为 商 式 ,r(x) 为 余 式 .r(z) 的 次 数 小 于 6b(z) 的 次 数 。 
多 项 式 除法 具有 与 普通 除法 一 样 的 长 除法 。 例 如 ,a(z) 二 十 Zz? 十 2,6(X) 二 x? 一 x 十 1， 
那么 ,a(z)/ b(z) 得 到 一 个 商 式 q(xz) 二 zx 十 2 和 一 个 余 式 r(x) 二 z+。 过程 如 下 : 
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区 十 2 
Eat /rE 
es 
0 2 


2 一 2 二 2 


局 

与 整数 运算 类 似 , 我 们 可 以 将 余 式 ~(z) 写 成 wCz) mod b(z), 称 为 a(z) 模 4b(z),b(zr) 
称 为 模 多 项 式 。 

定义 2.21 设 a(z) 和 6b(z) 是 域 玉 上 的 多 项 式 。 

(1) 设 b(z) 隆 0, 车 存在 gq(z) 使 a(x)= 二 gCz)b(z), 则 称 5(z) 是 a(xz) 的 因 式 或 者 除 式 。 
2(z) 整 除 ecCz), 记 为 2Cz)|aCz)。 

(2) 设 eCz) 和 4z) 不 全 为 0,aCz) 和 2Cz) 的 次 数 最 高 的 首 1 公 因 式 称 为 它们 的 最 高 公 
因 式 , 记 为 gcd(a(z),b(z))。 车 gcdla(z),b(7)) 二 1, 称 a(z) 和 6b(x) 互 素 。 

(3) 若 存 在 次 数 大 于 或 者 等 于 1 的 g(r) 和 6b(z), 使 a(z) 二 g(xz)b(z), 则 称 a(zx) 为 可 约 
多 项 式 ,否则 称 a(x) 为 不 可 约 多 项 式 ( 也 称 既 约 多 项 式 )。 

例如 ,GF(2) 上 的 多 项 式 ec(z) 一 必 十 1 是 可 约 多 项 式 ,因为 a(z) 二 x 十 1 二 (x 十 1) (x 十 
妇 十 z 十 1) 。 而 多 项 式 a(x) 二 十 x 十 1 则 是 不 可 约 多 项 式 , 因 为 它 没 有 一 个 因 式 。 

4. 有 限 域 GF(2") 

前 面 我 们 提 到 有 限 域 中 元 素 个 数 必须 是 p", 其 中 p 是 素数 ,n 是 正 整 数 。 当 元 素 个 数 
为 bp 的 有 限 域 在 Z。 上 进行 模 运算 时 ,能 够 满足 域 的 所 有 条 件 。 但 p" 模 的 模 运 算 不 一 定 能 
产生 域 。 下 面 用 不 可 约 多 项 式 构造 一 个 这 样 的 域 。 

对 于 FLz] 中 的 每 个 不 可 约 多 项 式 p(x), 可 以 构造 一 个 域 FLz]wa 。 

设 p(x) 是 FLz] 中 次 不 可 约 多 项 式 , 令 FLzjyw 为 FLx] 中 所 有 次 数 小 于 n 的 多 项 式 
集合 , 即 : 


Flzlys = aras :Facade dorwd ao 
其 中 a;EF, 即 在 集合 {0,1,…,p 一 1} 上 取 值 。 
定义 FLzjxo 上 的 二 元 运算 加 法 和 乘法 运算 如 下 : 
a(r Dbzr)= (a(r) tor)) mod p(x)=a(r)+b(zr) 
a(x)b(r)=(a(r)b(r)) mod p(x) 
域 FLzjwx 中 的 单位 元 和 零 元 分 别 是 下 中 的 单位 元 和 零 元 。 
由 上 面 的 运算 定义 可 以 看 到 : 
(1) 该 运算 遵循 基本 代数 规则 中 的 普通 多 项 式 运算 规则 。 
(2) 系数 运算 以 户 模 , 即 遵循 有 限 域 上 Z 的 运算 规则 。 
(3) 乘法 运算 是 两 个 多 项 式 相 乘 结果 再 模 一 个 不 可 约 多 项 式 p(x), 如 果 两 个 多 项 式 相 
乘 的 结果 是 次 数 大 于 "一 1 的 多 项 式 , 它 将 除 以 次 数 为 n 的 不 可 约 多 项 式 p (x) 并 取 余 。 
定理 2.22 《FLxjxw :外 ,外 ) 是 域 , 当 且 仅 当 p(x) 是 下 上 的 不 可 约 多 项 式 ,其 中 下 是 
有 限 域 。 
特别 地 ,在 GF(2”) 中 ,FLzjzcw 中 所 有 次 数 小 于 的 多 项 式 表 示 为 : 
fy = a Faas" 二 of a 
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系数 a; 是 二 进 制 数 ,该 多 项 式 可 以 由 它 的 个 二 进 制 系 数 唯 一 地 表示 。 因 此 GF(2") 
中 的 每 个 多 项 式 都 可 以 表示 成 一 个 nn 位 的 二 进 制 整 数 。 

下 面 以 高 级 加 密 标 准 (AES) 中 的 有 限 域 GF(2 ) 为 例 ,说 明 其 上 的 运算 。 不 可 约 多 项 式 
为 p(x)==x 十 x 十 十 x 十 1 ,假设 多 项 式 a(Xx)==x 十 x 十 Xz? 十 x 十 1,b(X)= 二 x ?十 x 十 1。 

加 法 运算 过 程 为 : 


a(z) Ob(z) = a(z) bz) = 二 x 十 十 区 十 1 十 x 十 到 十 1 = 十 十 xX 十 
乘法 运算 过 程 为 : 
a(z)b(z) = 二 x 十 Xz 十 如 十 十 十 ZX 十 x 十 十 1 


由 于 a(z) 和 6b(z) 相 乘 的 多 项 式 次 数 大 于 ,将 它们 相 乘 结果 再 除 以 不 可 约 多 项 式 
p(x) ,可 得 商 为 十 x ,余数 为 zx 十 x’ 十 1, 因 此 a(x)@b(x)=a(x)b(zx) mod p(x)==x' 十 
Ei 


。 用 十 六 进 制 表示 为 {57}@{83) 二 {C1)} 
。 用 二 进 制 表 示 为 (01010111)@(10000011)==(11000001) 


说 明 : 在 上 面 的 十 六 进 制 表示 中 ,是 用 一 个 十 六 进 制 字符 表示 4 位 二 进 制 数 ,一 个 字 节 
的 二 进 制 数 用 括号 括 起 来 的 两 个 十 六 进 制 字符 表示 。 

从 上 面 的 例子 我 们 也 可 以 发 现 ,多 项 式 加 法 是 将 对 应 的 系数 分 别 相 加 ,GF(2") 中 两 个 
多 项 式 加 法 和 减法 等 同 于 按 位 异 或 ,需要 注意 的 是 加 法 不 进位 ,减法 不 借 位 。 

例如 ,假设 多 项 式 a(z)=zx 十 x 十 x 十 x 十 1,6(z)==x? 十 x 十 1, 则 ; 


(十 Tt 十 五 十 X 十 ]) 十 (Xx? 十 xX 十 1) = 二 十 x 十 Xt 十 ? (多 项 式 表示 ) 
(01010111) @® (10000011) = (11010100) (二 进 制 表 示 ) 
{57} 由 {83} = {D4} (十 六 进 制 表 示 ) 


2.3 计算 复杂 性 理论 


计算 复杂 性 理论 提供 了 一 种 分 析 不 同 密码 技术 和 算法 的 计算 复杂 性 方法 。 它 是 密码 系 
统 安 全 性 定义 的 理论 基础 ,也 是 安全 的 现代 密码 系统 构造 方法 的 理论 依据 。 计 算 复 杂 性 理 
论 给 出 了 求解 一 个 问题 的 计算 是 “容易 "还 是 “困难 "的 确切 定义 ,这 有 助 于 确定 一 个 密码 算 
法 的 安全 强度 。 假 如 破译 一 个 密码 算法 所 花费 的 时 间 代 价 或 者 空间 代价 超出 了 密码 本 身 所 保 
密 内 容 的 价值 ,破译 就 没有 意义 了 。 计 算 机 复杂 性 理论 涉及 算法 的 复杂 性 和 问题 的 复杂 性 。 


2.3.1 问题 的 复杂 性 


一 个 问题 的 复杂 性 是 由 可 解 这 个 问题 的 算法 的 计算 复杂 性 所 决定 。 由 于 可 解 一 个 问题 
的 算法 可 能 有 多 个 ,它们 的 计算 复杂 性 也 各 不 相同 , 故 在 理论 上 定义 一 个 问题 的 计算 复杂 性 
为 可 解 该 问题 的 最 有 效 算法 的 计算 复杂 性 。 由 于 要 证 明 一 个 算法 是 解 某 一 问题 的 最 有 效 算 
法 是 很 困难 的 ,因此 在 实际 应 用 中 ,只 能 把 解 该 问题 的 已 知 最 有 效 算 法 的 计算 复杂 性 粗 分 为 
三 类 , 即 P 类 (确定 性 多 项 式 时 间 可 解 类 )、NP 类 (不 确定 性 多 项 式 时 间 可 解 类 ) 和 NP 完全 
类 ( 记 为 NPC, 不 确定 性 多 项 式 时 间 可 解 完 全 类 ) 。P 类 问题 称 为 易 解 问题 ,NP 类 问题 称 为 
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难 解 问题 ,NPC 问题 称 为 困难 问题 。 由 于 NPC 问题 不 存在 有 效 的 算法 ,现在 的 密码 算法 的 
安全 性 都 是 基于 NPC 问题 的 ,这 样 ,如 果 攻 击 者 想 破译 该 密码 就 相当 于 解 一 个 NPC 问题 。 


2.3.2 算法 的 复杂 性 


算法 的 复杂 性 表示 算法 在 实际 执行 时 所 需 计算 能 力 方面 的 信息 ,通常 它 由 该 算法 所 要 
求 的 最 长 时 间 与 最 大 储存 空间 来 确定 。 算 法 所 需 的 时 间 和 空间 往往 取决 于 问题 实例 的 规模 
n(n 表示 了 该 实例 的 输入 数据 长 度 ,或 者 叫 输入 尺寸 )。 同 时 ,算法 在 用 于 相同 规模 ”的 不 
同 实例 时 ,其 时 间 和 空间 需求 也 可 能 会 有 很 大 差异 。 因 此 ,在 实际 中 我 们 常常 研究 的 是 算法 
关于 输入 规模 的 所 有 实例 的 时 间 与 空间 需求 的 平均 值 。 

算法 的 复杂 性 可 以 用 以 下 关于 输入 规模 的 函数 来 表示 : T(n) (平均 时 间 复 杂 性 函数 ) 
与 S(n) (平均 空间 复杂 性 函数 )。 它 们 分 别 反映 了 算法 的 时 间 和 空间 需求 。 空 间 复 杂 性 与 
时 间 复 杂 性 通常 可 以 相互 转化 。 通 常 ,可 实现 的 算法 都 自动 地 引入 了 对 空间 复杂 性 函数 
S(n) 的 某 种 限制 ,比如 SC) 不 超过 的 某 个 低 次 多 项 式 , 所 以 一 般 情况 下 ,我 们 特别 注重 于 
对 算法 时 间 复 杂 性 函数 T(n) 的 研究 。 

通常 我 们 用 符号 O 来 衡量 算法 的 复杂 程度 , 它 表示 了 算法 复杂 性 的 数量 级 。 如 果 存 在 
常数 a 二 0, 使 Tm) 和 ag (mm)(Yn 记 0) ,一 般 还 要 求 g(n) 是 满足 前 述 条 件 的 函数 中 阶 次 尽 可 
能 小 的 函数 ,这 时 ,我 们 称 算法 的 时 间 复 杂 性 为 O(g(n))。 

例如 ,如 果 g() 是 nn 的 一 个 t 次 多 项 式 , 即 g(72) 三 ao 十 ao 十 … 十 2 十 co, 则 
T(m) 二 O(nm) , 即 算法 复杂 性 的 数量 级 是 多 项 式 级 的 。 

算法 按照 其 时 间 ( 或 空间 ) 复 杂 性 可 分 为 多 项 式 时 间 算 法 、 指 数 时 间 算法 和 超 多 项 式 时 
间 算 法 等 。 

如 果 算 法 的 时 间 复 杂 性 为 O(n), 其 中 1 为 常数 ,n 是 输入 规模 , 则 称 该 算法 是 多 项 式 时 间 
算法 。 车 :一 0, 则 称 算法 是 常数 的 ; 若 1 二 1, 则 称 算法 是 线性 的 ; 若 :一 2, 则 称 算法 是 二 次 的 。 

如 果 算 法 的 复杂 性 为 OC(i”), 其 中 1 为 大 于 1 的 常数 ,f(x) 是 输入 规模 n 的 多 项 式 函 
数 , 则 称 该 算法 是 指数 时 间 算 法 。 当 jz) 是 大 于 常数 而 小 于 线性 的 函数 时 ,如 时 间 复 杂 性 
为 Ole ?™w ) 的 算法 ,该 算法 被 称 为 超 多 项 式 时 间 算 法 。 

如 果 算 法 的 时 间 复 杂 性 为 0(2") ,该 算法 被 称 为 指数 时 间 算 法 。 

表 2.6 显示 了 不 同时 间 复 杂 性 算法 的 复杂 性 和 时 间 需 求 之 间 的 关系 。 它 是 假设 输入 规 
模 2 一 10" ,计算 机 1 秒 内 执行 10 个 基本 操作 时 的 计算 结果 。 


表 2.6 不 同时 间 复杂 性 算法 的 时 间 需 求 


算法 类 型 复 杂 性 操作 次 数 时 间 需 求 

线性 的 Ol 105 1 秒 

二 次 方 的 On) 10™ 11.6 天 

三 次 方 的 Om) 10' 32000 年 

超 多 项 式 的 (0 (bon) 约 1.8X10'% 6X101so 年 

指数 的 O(2") OF 村 3X10a005 年 

从 表 2.6 可 以 看 出 ,如 果 一 个 密码 算法 具有 指数 级 的 时 间 复 杂 性 ,那么 可 以 认为 它 在 计 

算 上 是 不 可 行 的 。 例 如 对 一 个 密码 算法 的 穷 举 攻击 的 时 间 复 杂 性 是 0(2") ,其 中 是 密 钥 
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长 度 。 如 果 交 足够 大 ,如 xz 一 128, 以 1 秒 10* 次 的 速度 尝试 ,大 约 需要 5.4X102# 年 ,因此 ,可 
以 认为 穷 举 这 样 的 密 钥 在 计算 上 是 不 可 行 的 。 


2.4 单 向 函数 


单 向 函数 和 陷 门 单 向 函数 是 公 钥 密码 学 的 核心 ,可 以 说 公 钥 密码 体制 的 设计 就 是 单 向 
陷 门 函数 的 设计 。 

定义 2.22 令 函 数 是 集 A 到 集 B 的 映射 ,以 f; A>B 表示 。 若 对 任意 如 关 x mi， 
ZzEA, 有 f(zi) 隆 (zs), 则 称 f 为 单 射 , 或 可 逆 的 函数 。 

了 为 可 逆 的 充 要 条 件 是 ,存在 函数 5: B 习 A, 使 对 所 有 xEA 有 g[f(x)]=x。 

定义 2. 23( 单 向 函数 ) 一 个 可 逆 函 数 f: A-~~B, 若 它 满足 : 

(1) 对 所 有 zEA, 易 于 计算 f(x)。 

(2) 对 几乎 所 有 xEA, 由 f(z) 求 x+ 极为 困难 ,以 至 于 实际 上 不 可 能 做 到 , 则 称 f 为 单 
向 函数 (One-way Function)。 

定义 中 的 “极为 困难 "是 对 现 有 的 计算 资源 和 算法 而 言 。 

定义 2.24( 单 向 陷 门 函数 ) 一个“ 可逆" 函数 下 若 满足 下 列 两 个 条 件 , 则 称 下 为 单 向 陷 
门 函 数 (One-way Trapdoor Function): 

(1) 对 于 所 有 属于 域 下 中 的 任 一 xz, 容易 计算 F(z) 二 y。 

(2) 对 于 几乎 所 有 属于 域 下 中 的 任 一 y, 除 非 获得 陷 门 信息 (Trapdoor) ,否则 求 出 xz, 使 
得 z=F '(y) 在 计算 上 不 可 行 ,F 为 下 的 道 函 数 。 

单 向 函数 是 求 逆 困 难 的 函数 ,而 单 向 陷 门 函数 (One-way Trapdoor Function) ,是 在 不 
知道 陷 门 信息 下 求 逆 困 难 的 函数 ,当知 道 陷 门 信息 后 , 求 逆 是 易于 实现 的 。 

实际 上 给 单 向 陷 门 函数 下 定义 是 很 球 手 的 ,原因 有 以 下 两 个 。 

(1) 陷 门 函数 其 实 不 是 单 向 函数 ,因为 单 向 函数 在 任何 条 件 下 求 逆 都 是 困难 的 。 

(2) 陷 门 可 能 不 止 一 个 ,通过 试验 ,一 个 个 陷 门 就 可 容易 地 找到 逆 。 如 果 陷 门 信息 的 保 
密 性 不 强 , 求 逆 也 就 不 难 。 

公 钥 密码 的 原理 就 是 基于 单 向 陷 门 函数 ,加 密 是 容易 的 方向 ,任何 人 都 可 以 利用 公开 密 
钥 加 密 信 息 ,而 解密 是 难 的 方向 , 它 设 计 得 非常 困难 ,以 至 于 若 没 有 密 钥 ( 陷 门 信息 ), 即 使 使 
用 运算 速度 最 快 的 计算 机 在 人 类 有 限 的 时 间 内 也 不 能 解 开 加 密 的 信息 。 

目前 ,还 不 能 从 理论 上 证 明 单 向 函数 是 存在 的 。 对 单 向 函数 存在 性 的 证 明 等 同 于 计算 
机 科学 中 的 一 个 最 具 挑 战 性 的 NP 完全 问题 ,而 关于 NP 完全 性 的 理论 却 不 足以 证 明 单 向 
函数 的 存在 。 不 过 ,现实 中 却 存 在 几 个 候选 单 向 函数 。 说 它们 是 “候选 "的 ,是 因为 它们 表现 
出 了 单 向 函数 的 性 质 , 但 还 没有 办 法 从 理论 上 证 明 它们 一 定 是 单 向 函数 。 

下 面 给 出 一 些 常见 的 候选 单 向 函数 。 

1. 离散 对 数 

给 定 一 大 素数 p.p 一 1 含 另 一 大 素数 因子 9。 整 数 g,1 二 gp 一 1。 已 知 z, 求 y=g*” modp 
是 容易 的 ,最 多 需要 [logsz] 十 w(x) 一 1 次 乘法 ,w(xz) 为 z+ 中 所 有 1 的 个 数 。 如 xz 一 15, 即 += 
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(111)2yw(z)=4, 则 gs 二 (((g?)g)*。g)*。g mod p, 只 需要 6(3 十 4 一 1) 次 乘法 。 

若 已 知 yg、p, 求 + 二 logsy mod p 为 离散 对 数 问 题 。 目 前 最 快 的 方法 需要 L(p) 次 运 
算 ,L(p) 王 exp{(lnpln(lnp))22) 。 

当 p= 二 512 位 时 ,L(p) 约 为 2 于 六 10” ,在 计算 上 不 可 行 。 因 为 2” 守 10”, 计 算 时 间 要 
10" 年 。 

2. 因数 分 解 问题 

给 定 大 素数 p 和 9 , 求 n 二 pq, 只 要 一 次 乘法 。 

若 给 定 n, 求 p 和 gq, 即 为 因数 分 解 问题 ,最 快 的 方法 需要 T(n) 次 运算 ,T(n) 一 
exp{c(lnnln(lnn))”) ,其 中 < 为 大 于 1 的 正 整数 。 表 2.7 给 出 了 素 因 子 分 解 所 需 时 间 。 在 
实际 密码 算法 应 用 中 ,整数 ”一 般 取 309 位 十 进 制 数 。 

表 2.7 素 因子 分 解 所 需 时 间 


整数 n 的 十 进 制 位 数 因子 分 解 的 运算 次 数 所 需 计算 时 间 ( 每 微 秒 一 次 ) 

50 1.4X10™ 3.9 小 时 

75 9.0X102 104 天 

100 2.3X105 74 年 

200 1.2X102 3.8X10* 年 

300 1.5X00° 4.0X105 年 

500 1.3X10” 4.2X10” 年 

3. 背包 问题 


给 定 有 限 个 自然 数 序列 集合 B= (证 , 包 ,…, 包 ) 及 二 进 制 序列 工 一 (mi yza yyzn)， 
xiE(0,1), 求 S= 了 xib; 最 多 只 需 n 一 1 次 加 法 ; 但 车 给 定 B 和 S, 求 x 则 非常 困难 。 穷 举 
时 有 2" 种 可 能 , 当 n 很 大 时 ,在 计算 上 是 不 可 行 的。 


2.5 关键 术语 


因子 (Divisors) 

最 大 公 因 子 (Greatest Common Divisor) 
素数 (Prime Number) 

同 余 (Congruence) 

模 运 算 (Modular Arithmetic) 
离散 对 数 (Discrete Logarithm) 
本 原 根 (Primitive Root) 

二 次 剩余 (Quadratic Residue) 
群 (Groups) 

有 限 群 (Finite Groups) 

环 (Rings) 
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域 (Fields) 

有 限 域 (Finite Fields) 

单 向 函数 (One-way Function) 

单 向 陷 门 函数 (One-way Trapdoor Function) 


2.6 习题 2 


2.1 列 出 小 于 30 的 素数 。 

2.2 若是 大 于 1 的 整数 , 则 a 的 大 于 1 的 最 小 因子 一 定 是 素数 。 
2.3 ”如 果 n|(a 一 四 ,证 明 4a 寺 b mod n。 

2.4 证 明 下 面 等 式 : 

(1) (atb) mod m=((a mod m)+(b mod m)) mod m. 

(2) (a—b) mod m=((a mod m)—(b mod m)) mod m. 

(3) (aXb) mod m=((a mod m)X(b mod m)) mod m. 

(4) (aX (b+He)) mod m=(((aXb) mod m)+((aXce) mod m)) mod m. 
2.5 证 明 5” 一 1 是 56 的 倍数 。 

2.6 对 于 整数 39 和 63, 回 答 下 面 问题 : 

(1) 它们 是 否 互 素 。 

(2) 用 欧 几 里 得 算法 求 它们 的 最 大 公 因 子 。 

(3) 25 1! 二 zx mod 15 是 否 有 解 。 

2.7 用 欧 几 里 得 算法 求 gcd(1997,57) 和 gcd(24140,16762) 。 
2.8 用 扩展 欧 几 里 得 算法 求 下 列 乘法 逆 元 。 

(1) 1234 mod 4321 

(2) 24140 mod 40902 

(3) 550 mod 1769 

2.9 用 快速 指数 模 运 算 方法 计算 2008” mod 77 和 3 mod 77。 
2.10 用 费 马 定理 求 3”" (mod 11) 。 

2.11 计算 下 面 欧 拉 函 数 。 

(1) p(41) 、.p(27) 、.p(231)、p(440) 。 

(2) 8(2)p(6) 和 p(3)p(4), 哪 一 个 等 于 p(12) 。 

2.12 求解 下 列 一 次 同 余 方程 。 

(1) 3z=10(mod 29) 

(2) 40z=191(mod 6191) 

(3) 258zx 三 131(mod 348) 

2.13 证 明 下 面 的 结论 。 

设 ac sd 为 整数 ,m 为 正 整 数 , 若 三 02(mod m) ,c 圭 d(mod m2), 则 : 
(1) az 十 cy= 生 pz 十 dy(mod m) ,zy 为 任意 整数 。 

(2) ac=bd (mod m), 
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(3) an=bn(mod m) .n>0。 
(4) f(a) 硅 f(5) (mod m) ,f(z) 为 任意 一 个 整数 多 项 式 。 
2.14 求 满足 下 面 同 余 方程 的 解 。 
ZX 三 l(mod 5), xz=5(mod 6), z=4(mod7), x= 10(mod 11) 
2.15 求 Zs 中 各 非 零 元 素 的 乘法 逆 元 。 
2.16 类 似 于 图 2. 2, 请 列 出 有 限 域 GF(5) 中 的 加 法 和 乘法 运算 。 
2.17 对 于 系数 在 Ze 上 的 取 值 的 多 项 式 运算 ,分 别 计算 ; 
《下 元 二 2 一 (站 寺 5 
(2) (6z2 十 z 十 3)X(5z2 十 2) 
2.18 假设 f(x)=x 十 z 十 1 在 GF(2") 中 是 一 个 不 可 约 多 项 式 ,a(zx) 二 2zx’ 十 zx 十 2， 
6(z) 一 2z2 十 2z 十 2, 求 a(Cz)6Cz)。 
2.19 ”编程 实现 模 的 快速 指数 运算 。 
2.20 ”编程 实现 利用 扩展 欧 几 里 得 算法 求 出 最 大 公 因 子 和 乘法 逆 元 。 
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本 章 导 读 
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本 章 主要 介绍 对 称 密 码 技术 及 其 相关 的 内 容 , 包 括 一 些 加 密 算法 、 密 钥 的 产生 和 密 
钥 的 分 配 等 。 

对 称 密码 是 一 种 加 密 密 钥 和 解密 密 钥 相同 的 密码 体制 。 

对 称 密码 分 为 分 组 密码 和 流 密 码 。 分 组 密码 每 次 操作 (如 加 密 和 解密 ) 是 针对 一 个 
分 组 而 言 。 流 密码 则 每 次 加 密 ( 或 者 解密 ) 一 位 或 者 一 个 字 节 。 

对 密码 的 攻击 方法 有 基于 密码 算法 性 质 的 密码 分 析 和 穷 举 搜索 攻击 。 

从 发 展 阶段 来 看 ,对 称 密码 主要 分 为 两 种 : 20 世纪 70 年 代 以 前 的 对 称 密 码 (主要 指 
计算 机 出 现 以 前 ) 和 20 世纪 70 年 代 以 后 的 对 称 密码 。 

我 们 称 20 世纪 70 年 代 以 前 的 对 称 密码 为 古典 加 密 技 术 , 主 要 使 用 代 换 或 者 置换 技 
巧 。20 世纪 70 年 代 以 后 的 对 称 密码 则 同时 使 用 代 换 和 置换 技巧 。 

古典 加 密 技术 分 为 两 类 : 一 类 是 单字 母 代 换 密码 , 它 将 明文 的 一 个 字符 用 相应 的 一 
个 密 文字 符 代 替 。 另 一 类 是 多 字母 代 换 密码 , 它 是 对 多 于 一 个 字母 进行 代 换 。 单 字 
母 代 换 密码 又 分 为 单 表 代 换 密码 和 多 表 代 换 密码 。 

DES 是 第 一 个 加 密 标 准 , 它 与 古典 加 密 技术 不 一 样 ,DES 同时 使 用 了 代 换 和 置换 两 
种 技巧 。 用 56 位 密 钥 加 密 64 位 明文 。 

AES 是 用 来 取代 DES 的 高 级 加 密 标 准 , 其 结构 与 DES 不 同 , 它 是 用 128、192 或 者 
256 位 密 角 加密 128 位 的 分 组 。 

SMS4 是 我 国 官方 公布 的 第 一 个 商用 密码 算法 , 它 是 一 种 分 组 对 称 密码 算法 ,用 128 
位 密 钥 加 密 128 位 的 分 组 。 

RC6 是 RSA 公司 提交 给 NIST 的 一 个 候选 高 级 加 密 标准 算法 ,其 效率 非常 高 。 
RC4 是 被 广泛 使 用 的 一 种 同步 流 密 码 。 

在 密码 学 中 的 很 多 场合 下 都 要 使 用 随机 数 ,安全 的 随机 数 应 该 满足 随机 性 和 不 可 预 
测 性 。 

密 角 分配 为 通信 的 双方 发 送 会 话 密 钥 。 


密码 技术 是 信息 系统 最 重要 的 安全 机 制 。 密 码 技术 主要 分 为 对 称 密 码 技术 (也 称 单 钥 
或 者 传统 密码 技术 ) 和 非 对 称 密码 技术 (也 称 双 钥 或 者 公 钥 密码 技术 ) 。 在 对 称 密码 技术 中 ， 
加 密 密 钥 和 解密 密 钥 相同 ,或 者 一 个 密 钥 可 以 从 另 一 个 密 钥 导 出 。 而 非 对 称 密码 技术 则 使 
用 两 个 密 钥 ,加 密 密 钥 和 解密 密 钥 不 相同 。 对 称 密码 技术 主要 使 用 两 种 技巧 : 代 换 和 置换 。 
代 换 是 将 明文 中 的 每 个 元 素 映 射 成 另 一 个 元 素 。 置 换 是 将 明文 中 的 元 素 重 新 排列 。 在 20 
世纪 70 年 代 以 前 的 加 密 技 术 都 是 对 称 加 密 技 术 , 并 且 在 这 些 加 密 技 术 中 只 使 用 了 代 换 或 者 
置换 技巧 。 这 个 时 期 的 加 密 技术 也 称 为 古典 加 密 技术 。 在 20 世纪 70 年 代 以 后 出 现 的 对 称 
加 秘技 术 则 同时 使 用 了 代 换 和 和 置换 两 种 技巧 。 这 两 个 阶段 的 加 密 技术 还 有 一 个 典型 区 别 : 
古典 加 密 技 术 一 般 将 加 密 算 法 保密 ,而 现代 的 对 称 加 密 技 术 则 公开 加 密 算 法 ,加密 算 法 的 安 
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全 性 只 取决 于 密 钥 ,不 依赖 于 算法 。 非 对 称 密码 技术 则 产生 于 20 世纪 70 年 代 。 


3.1 基本 概念 


密码 学 (Cryptology) 是 以 研究 秘密 通信 为 目的 , 即 对 所 要 传送 的 信息 采取 一 种 秘密 保 
护 , 以 防止 第 三 者 对 信息 进行 窃取 的 一 门 学 科 。 密 码 学 作为 数学 的 一 个 分 支 ,包括 密码 编码 
学 (Cryptography) 和 密码 分 析 学 (Cryptanalysis) 两 部 分 。 密 码 编码 学 是 研究 加 密 原 理 与 方 
法 ,使 消息 保密 的 技术 和 科学 , 它 的 目的 是 掩盖 消息 内 容 。 密 码 分 析 学 则 是 研究 破解 密 文 的 
原理 与 方法 。 密 码 分 析 者 (Cryptanalyst) 是 从 事 密码 分 析 的 专业 人 员 。 

采用 加 密 的 方法 伪装 消息 ,使 得 未 授权 者 不 可 理解 被 伪装 的 消息 。 被 伪装 的 原始 消息 
(Message) 称 为 明文 (Plaintext) 。 将 明文 转换 为 密 文 的 过 程 称 为 加 密 (Encryption) ,加 了 密 


的 消息 称 为 密 文 (Ciphertext) ,而 把 密 文 转 变 为 明文 的 过 ”明文 密 文 明文 
程 称 为 解密 (Decryption)。 加 密 解 密 过 程 如 图 3.1 所 示 。 "| 加密 一 | 解密 | 一 一 
将 明文 转换 为 密 文 的 算法 称 为 密码 (Cipher) 。 一 个 加 密 系 图 3.1 加 密 解密 过 程 


统 采用 的 基本 工作 方式 叫做 密码 体制 (Cryptosystem) 。 实 

际 上 在 密码 学 中 的 “系统 或 体制 (System)”、“ 方 案 (Scheme)” 和 “算法 (Algorithm) ”等 术语 
本 质 上 是 一 回 事 , 在 本 书 中 我 们 也 将 使 用 这 些 术 语 。 加 密 和 解密 算法 通常 是 在 一 组 密 钥 
(Key) 控 制 下 进行 的 ,分 别称 为 加 密 密 钥 和 解密 密 钥 。 如 果 加 密 密 钥 和 解密 密 钥 相同 , 则 密 
码 系统 为 对 称 密码 系统 。 


3.2 ”对称 密码 模型 


对 称 密码 也 称 传统 密码 , 它 的 特点 是 发 送 方 和 接收 方 共享 一 个 密 钥 。 对 称 密码 分 为 两 
类 : 分 组 密码 (Block Ciphers) 和 流 密码 (Stream Ciphers) 。 分 组 密码 也 称 为 块 密码 , 它 是 将 
信息 分 成 一 块 (组 ) ,每 次 操作 (如 加 密 和 解密 ) 是 针对 一 组 而 言 。 流 密码 也 称 序列 密码 , 它 每 
次 加 密 (或 者 解密 ) 一 位 或 者 一 个 字 节 。 

一 个 对 称 密码 系统 (也 称 密码 体制 ) 由 5 个 部 分 组 成 。 用 数学 符号 描述 为 S= {M,C， 
KK,E,D} ,如 图 3.2 所 示 。 


攻击 者 
发 送 方 接收 方 

es re 

加 | 伟 解 
| 各 | Ee | 各 地 

M 革 | E | 淮 2 | 其 * 
下 
天 安全 通道 天 
密 钥 源 


图 3.2 对 称 密码 系统 模型 
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(1) 明文 空间 M, 表 示 全 体 明文 的 集合 。 

(2) 密 文 空间 C, 表 示 全 体 密 文 的 集合 。 

(3) 密 钥 空间 K ,表示 全 体 密 钥 的 集合 ,包括 加 密 密 钥 和 解密 密 钥 。 

(4) 加 密 算法 EE, 表示 由 明文 到 密 文 的 变换 。 

(5) 解密 算法 D, 表 示 由 密 文 到 明文 的 变换 。 

在 发 送 方 ,对 于 明文 空间 的 每 个 明文 ,加 密 算 法 在 密 钥 的 作用 下 生成 对 应 的 密 文 。 接 收 
方 将 接收 的 密 文 ,用 解密 算法 在 解密 密 钥 的 控制 下 变换 成 明文 。 我 们 可 以 看 到 加 密 算法 有 
两 个 输入 ,一 个 是 明文 ; 另 一 个 是 密 钥 。 加 密 算 法 的 输出 是 密 文 。 解 密 算法 本 质 上 是 加 密 
算法 的 逆 运 行 ,解密 算法 的 输入 是 密 文 和 密 钥 ,输出 是 明文 。 

对 明文 M 用 密 钥 KK ,使 用 加 密 算法 EE 进行 加 密 , 常 常 表示 为 Ei(M) ,同样 用 密 钥 使 
用 解密 算法 D 对 密 文 C 进行 解密 ,表示 为 Di(C)。 在 对 称 加 密 体制 中 ,解密 密 钥 相 同 , 有 : 

C= E(M) 
M = Di(C) = D,(E,(M)) 

从 对 称 密码 模型 可 以 看 到 ,发 送 方 和 接收 方 主要 进行 加 密 和 解密 运算 ,我们 希望 这 个 运 
算 越 容易 越 好 ,对 于 攻击 者 而 言 ,我 们 希望 他 们 破译 密 文 的 计算 越 难 越 好 。 因 此 一 个 好 的 密 
码 体制 至 少 要 满足 下 面 几 个 条 件 。 

(1) 已 知 明文 M 和 加 密 密 钥 K 时 ,易于 计算 C= Ei(M)。 

(2) 加 密 算法 必须 足够 强大 ,使 破译 者 不 能 仅 根 据 密 文 破译 消息 , 即 在 不 知道 解密 密 钥 
K 时 ,由 密 文 C 计 算出 明文 M 是 不 可 行 的 。 

(3) 由 于 对 称 密 码 系统 双方 使 用 相同 的 密 钥 ,因此 还 必须 保证 能 够 安全 地 产生 密 钥 ,并 
且 能 够 以 安全 的 形式 将 密 钥 分 发 给 双方 。 

(4) 对 称 密码 系统 的 安全 只 依赖 于 密 钥 的 保密 ,不 依赖 于 加 密 和 解密 算法 的 保密 。 


3.3 密码 攻击 


分 析 一 个 密码 系统 是 否 安全 ,一 般 是 在 假定 攻击 者 知道 所 使 用 的 密码 系统 情况 下 进行 
分 析 的 。 一 般 情况 下 ,密码 分 析 者 可 以 得 到 密 文 ,知道 明文 的 统计 特性 加密 体制 、 密 钥 空 间 
及 其 统计 特性 ,但 不 知道 加 密 截获 的 密 文 所 用 的 特定 密 钥 。 这 个 假设 称 为 Kerckhoff 假设 。 
分 析 一 个 密码 系统 的 安全 性 一 般 是 建立 在 这 个 假设 的 基础 上 。 当 然 , 如 果 攻 击 者 不 知道 所 
使 用 的 密码 体制 ,那么 破译 是 更 难 的 。 但 是 ,不 应 当 把 密码 系统 的 安全 性 建立 在 攻击 者 不 知 
道 所 使 用 的 密码 体制 这 个 前 提 之 下 。 因 此 ,在 设计 一 个 密码 系统 时 ,其 目的 应 当 是 在 
Kerckhoff 假设 下 达到 一 定 的 安全 程度 。 

攻击 对 称 密码 体制 有 两 种 方法 : 密码 分 析 和 穷 举 攻击 (Brute Force Search)。 密 码 分 析 
是 依赖 加 密 算 法 的 性 质 和 明文 的 一 般 特 征 等 ,试图 破译 密 文 得 到 明文 或 试图 获得 密 钥 的 过 
程 。 穷 举 攻 击 则 是 试 遍 所 有 可 能 的 密 钥 对 所 获 密 文 进行 解密 ,直至 得 到 正确 的 明文 ; 或 者 
用 一 个 确定 的 密 钥 对 所 有 可 能 的 明文 进行 加 密 , 直 到 得 到 与 所 获得 的 密 文 一 致 。 


3.3.1 穷 举 攻击 
穷 举 攻击 是 最 基本 的 ,也 是 比较 有 效 的 一 种 攻击 方法 。 从 理论 上 讲 , 可 以 尝试 所 有 的 密 
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钥 。 因 此 只 要 有 足够 的 资源 ,任何 密码 体制 都 可 以 用 穷 举 攻击 将 其 攻破 。 幸 运 的 是 ,攻击 者 
不 可 能 有 无 穷 的 可 用 的 资源 。 

穷 举 攻击 的 代价 与 密 钥 大 小 成 正比 。 穷 举 攻击 所 花费 的 时 间 等 于 尝试 次 数 乘 以 一 次 解 
密 ( 加 密 ) 所 需 的 时 间 。 显 然 可 以 通过 增 大 密 钥 位 数 或 加 大 解密 (加 密 ) 算 法 的 复杂 性 来 对 抗 
穷 举 攻击 。 当 密 钥 位 数 增 大 时 ,尝试 的 次 数 必 然 增 大 。 当 解密 (加 密 ) 算 法 的 复杂 性 增 大 时 ， 
完成 一 次 解密 (加 密 ) 所 需 的 时 间 增 大 。 从 而 使 穷 举 攻击 在 实际 上 不 能 实现 。 表 3. 1 是 穷尽 
密 钥 空间 所 需 的 时 间 。 从 表 3. 1 中 我 们 可 以 发 现 , 当 密 钥 长 度 达到 128 位 以 上 时 ,以 目前 的 


资源 来 说 , 穷 举 攻击 将 不 会 成 功 。 
表 3.1 穷尽 密 钥 空 间 所 需 的 时 间 
每 微 秒 尝试 1 次 每 微 秒 尝试 10' 次 
(位 ) 
汪 调 大话 (全 be 所 需 时 间 所 需 时 间 

32 23 一 4.3X10? 231 微 秒 王 35. 8 分 2.15 毫秒 

56 25 一 7.2X101 25 微 秒 = 二 1142 年 10.01 小 时 

128 2123 =—3,.4X10% 22 微 秒 一 5.4X102% 年 5.4X108 年 

168 21% =3.7X10% 2197 微 秒 = 二 5.9X10” 年 5.9X10” 年 

26 个 字母 排列 26! =4X10” 2X10” 微 秒 = 二 6. 4X10* 年 、| 6.4X10s 年 


3.3.2 密码 攻击 类 型 


密码 分 析 是 基于 Kerckhoff 假设 的 。 密 码 分 析 者 所 使 用 的 策略 取决 于 加 密 方案 的 性 质 
以 及 可 供 密码 分 析 者 使 用 的 信息 , 正 是 基于 密码 分 析 者 所 知 的 信息 量 , 可 把 对 密码 的 攻击 分 
为 以 下 几 种 类 型 。 


唯 密 文 攻击 (Ciphertext-Only Attack) 。 密 码 分 析 者 有 一 些 消息 的 密 文 ,这些 消息 都 
用 同一 算法 加 密 。 密 码 分 析 者 的 任务 是 恢复 尽 可 能 多 的 明文 ,或 者 是 最 好 能 推算 出 
加 密 消息 的 密 钥 ,以 便 采用 相同 的 密 钥 解 出 其 他 被 加 密 的 消息 。 这 种 情况 下 ,密码 
分 析 者 知道 的 东西 只 有 两 样 : 加 密 算法 和 待 破译 的 密 文 。 

已 知 明文 攻击 (Known-Plaintext Attack) 。 密 码 分 析 者 除 知道 加 密 算法 和 待 破译 的 
密 文 外 ,而 且 也 知道 有 一 些 明 文 和 同一 个 密 钥 加 密 的 这 些 明 文 所 对 应 的 密 文 , 即 知 
道 一 定数 量 的 明文 和 对 应 的 密 文 。 

选择 明文 攻击 (Chosen-Plaintext Attack)。 密 码 分 析 者 知道 加 密 算法 和 待 破译 的 密 
文 , 并 且 可 以 得 到 所 需要 的 任何 明文 所 对 应 的 密 文 , 这 些 明 文 和 待 破译 的 密 文 是 用 
同一 密 钥 加 密 得 来 的 , 即 知道 选择 的 明文 和 对 应 的 密 文 。 如 在 公 钥 密码 体制 中 , 攻 
击 者 可 以 利用 公 钥 加 密 他 任意 选择 的 明文 。 

选择 密 文 攻击 (Chosen-Ciphertext Attack) 。 密 码 分 析 者 知道 加 密 算 法 和 待 破译 的 
密 文 ,密码 分 析 者 能 选择 不 同 的 被 加 密 的 密 文 ,并 可 得 到 对 应 的 解密 的 明文 , 即 知道 
选择 的 密 文 和 对 应 的 明文 。 解 密 这 些 密 文 所 使 用 的 密 钥 与 解密 待 破解 的 密 文 的 密 
钥 是 一 样 的 。 这 种 攻击 主要 用 于 公 钥 密码 算法 。 

选择 文本 攻击 (Chosen Text Attack) 。 选 择 文本 攻击 是 选择 明文 攻击 和 选择 密 文 攻 
击 的 结合 。 密 码 分 析 者 知道 加 密 算法 和 待 破译 的 密 文 ,并且 知 道 任意 选择 的 明文 和 
它 对 应 的 密 文 ,这 些 明 文 和 等 破译 的 密 文 是 用 同一 密 钥 加 密 得 来 的 ,以 及 有 目的 地 
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选择 的 密 文 和 它 对 应 的 明文 ,解密 这 些 密 文 所 使 用 的 密 钥 与 解密 待 破解 的 密 文 的 密 
钥 是 一 样 的 。 


在 以 上 任何 一 种 情况 下 ,攻击 者 的 目标 都 是 为 了 确定 正在 使 用 的 密 钥 。 显 然 , 上 述 5 种 
攻击 类 型 的 强度 按 序 递 增 ,如 果 一 个 密码 系统 能 够 抵抗 选择 明文 攻击 ,那么 它 也 能 抵抗 唯 密 
文 攻击 和 已 知 明文 攻击 。 一 般 来 说 ,一 个 密码 体制 是 安全 的 ,通常 是 指 在 受到 前 三 种 攻击 下 
系统 的 安全 性 , 即 攻击 者 一 般 容易 具备 前 3 种 攻击 条 件 。 在 这 几 种 攻击 类 型 中 , 唯 密 文 攻击 
难度 最 大 ,因为 攻击 者 可 利用 的 信息 最 少 。 在 此 情况 下 ,一 种 可 能 的 攻击 方法 是 对 所 有 可 能 
的 密 钥 尝试 的 强行 攻击 法 , 即 穷 举 攻击 。 如 果 密 钥 量 非常 大 , 则 该 方法 是 不 现实 的 。 因 此 ， 
攻击 者 通常 运用 各 种 统计 方法 对 密 文 本 身 进行 分 析 。 如 果 攻 击 者 知道 的 信息 越 多 ,就 越 容 
易 破 解密 文 。 在 多 数 情况 下 ,密码 分 析 者 能 够 获得 除 密 文 以 外 的 更 多 信息 ,如 能 够 获得 一 段 
或 者 多 段 明文 以 及 对 应 的 密 文 ,或 者 可 能 知道 某 种 明文 模式 将 出 现在 某 个 消息 中 ,此 时 可 以 
进行 已 知 明文 攻击 ,攻击 者 可 以 从 转换 明文 的 方法 来 推导 密 钥 。 

对 密码 设计 者 而 言 ,被 设计 的 加 密 算法 一 般 要 能 经 受 得 住 已 知 明文 的 攻击 。 如 果 无 论 
攻击 者 有 和 多少 密 文 ,由 一 个 加 密 算法 产生 的 这 些 密 文中 包含 的 信息 都 不 足以 唯一 决定 对 应 
的 明文 ,也 无 论 用 什么 技术 方法 进行 攻击 都 不 能 被 攻破 ,这 种 加 密 算法 则 是 绝对 安全 
(Unconditional Security) 。 绝 对 安全 指 不 论 攻 击 者 具有 多 少 计算 能 力 都 无 法 破解 密 文 。 除 
一 次 一 密 (One-Time Pad) 外 ,没有 绝对 安全 的 加 密 算法 。 因 此 ,加 密 算法 的 使 用 者 应 该 挑 
选 满足 下 列 标准 中 的 一 个 或 两 个 的 算法 。 

(1) 破译 该 密码 的 成 本 超过 被 加 密 信息 的 价值 。 

(2) 破译 该 密码 的 时 间 超 过 该 信息 有 价值 的 生命 周期 。 

如 果 满 足 上 述 的 两 个 准则 ,一 个 加 密 算法 就 可 认为 是 在 计算 上 安全 (Computational 
Security) 的 。 计 算 上 安全 是 指 在 计算 能 力 有 限 的 情况 下 (如 计算 所 需 时 间 比 宇宙 生存 时 间 
还 长 ) ,无 法 破解 此 密 文 。 目 前 的 加 密 算 法 一 般 在 计算 上 是 安全 的 。 


3.3.3 密码 分 析 方 法 


当 密 钥 长 度 增加 到 一 定 的 大 小 时 , 穷 举 攻击 变 得 不 切实 际 。 因 此 用 密码 分 析 的 方法 攻 
击 密码 越 来 越 引 起 人 们 的 重视 ,目前 比较 流行 的 密码 分 析 方法 是 线性 密码 分 析 和 差分 密码 
分 析 。 这 两 种 方法 主要 是 针对 现代 密码 的 攻击 。 

线性 分 析 是 一 种 已 知 明文 攻击 ,最 早 由 Matsui 在 1993 年 提出 。 线 性 分 析 是 一 种 统计 
攻击 , 它 以 求 线性 近似 为 基础 。 通 过 寻找 现代 密码 算法 变换 的 线性 近似 来 攻击 。 如 用 这 种 
方法 在 只 需要 知道 2 个 已 知 明文 的 情况 下 就 可 以 找到 DES 的 密 钥 。 

差分 密码 分 析 在 许多 方面 与 线性 密码 分 析 相 似 , 它 与 线性 密码 分 析 的 主要 区 别 在 于 差 
分 密码 分 析 包 含 了 将 两 个 输入 的 异 或 与 其 相对 应 的 两 个 输出 的 异 或 相 比 较 。 差 分 密码 分 析 
也 是 一 个 选择 明文 攻击 。 差 分 密码 分 析 被 公认 为 近年 来 密码 分 析 的 最 大 成 就 。 差 分 密码 分 
析出 现 于 20 世纪 70 年 代 , 但 在 1990 年 才 被 公开 发 布 。 它 的 基本 思想 是 : 通过 分 析 明 文 对 
的 差 值 与 密 文 对 的 差 值 的 影响 来 恢复 某 些 密 钥 位 。 差 分 分 析 可 用 来 攻击 任何 一 个 拥有 固定 
迭代 轮 函 数 结构 的 密码 算法 。 
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3.4 古典 加 密 技 术 


古典 加 密 技 术 主 要 使 用 代 换 或 者 置换 技术 。 代 换 (Substitution) 是 将 明文 字母 替换 成 
其 他 字母 ,数字 或 者 符号 。 置 换 (Permutation ) 则 保持 明文 的 所 有 字母 不 变 , 只 是 打 乱 明文 
字母 的 位 置 和 次 序 。 这 些 古 典 代 换 加 密 技 术 分 为 两 类 ,一 类 是 单字 母 代 换 密 码 (Monogram 
Substitution Cipher) , 它 将 明文 的 一 个 字符 用 相应 的 一 个 密 文字 符 代替 。 另 一 类 是 多 字母 
代 换 密码 (Polygram Substitution Cipher), 它 是 对 多 于 一 个 字母 进行 代 换 。 在 单字 母 代 换 
密码 中 又 分 为 单 表 代 换 密码 (Monoalphabetic Substitution Cipher) 和 多 表 代 换 密 码 
(Polyalphabetic Substitution Cipher) 。 单 表 代 换 密 码 只 使 用 一 个 密 文字 母 表 ,并 且 用 密 文 
字母 表 中 的 一 个 字母 来 代替 一 个 明文 字母 表 中 的 一 个 字母 。 多 表 代 换 密码 是 将 明文 消息 中 
出 现 的 同一 个 字母 ,在 加 密 时 不 完全 被 同一 个 固定 的 字母 代 换 ,而 是 根据 其 出 现 的 位 置 次 
序 , 用 不 同 的 字母 代 换 。 


3.4.1 单 表 代 换 密码 


单 表 代 换 密码 只 使 用 一 个 密 文字 母 表 ,并 且 用 密 文字 母 表 中 的 一 个 字母 来 代替 一 个 明 
文字 母 表 中 的 一 个 字母 。 设 M 和 C 分 别 表示 为 含 n 个 字母 的 明文 字母 表 和 密 文 字母 表 。 
M = {mo sm sm } 
C= {coscis" ,cn 1} 
如 果 了 为 一 种 代 换 方法 ,那么 密 文 为 C=E (mm) 二 coc we 1 三 fn0) fm) fCGn,_1)。 
单 表 代 换 密码 常见 的 方法 有 加 法 密码 、 乘 法 密码 和 仿 射 密码 。 在 本 章 的 例子 中 ,我 们 将 
用 小 写字 母 表示 明文 ,用 大 写字 母 表示 密 文 。 明 文 和 密 文 空间 都 假设 为 26 个 字母 , 即 属于 
Zz ,当然 很 容易 推广 到 个 字母 的 情况 。 
1. 加 法 密码 
对 每 个 c,mE Z, ,加 法 密码 的 加 密 算法 和 解密 算法 是 : 
C=E(m)= (m+k) modn 
M=D(c) = (c—k) modn 
& 是 满足 0 二 k=n 的 正 整 数 。 若 是 26 个 字母 ,加密 方法 是 用 明文 字母 后 面 第 个 字 
母 代 替 明 文字 母 。 因 此 , 代 换 密码 中 的 加 密 和 解密 可 以 看 做 是 字母 表 上 的 一 个 字母 的 置换 。 
Caesar 密码 是 典型 的 加 法 密码 。 
Caesar 密码 是 已 知 最 早 的 单 表 代 换 密码 ,采用 加 法 加 密 的 方法 ,由 Julius Caesar 发 明 ， 
最 早 用 在 军事 上 。 将 字母 表 中 的 每 个 字母 ,用 它 后 面 的 第 3 个 字母 代替 ,如 下 所 示 。 
。 明文 : meet me after the toga party 
*。 密 文 : PHHW PH DIWHU WKH WRJD SDUWB 


代 换 方式 的 定义 ,如 下 : 
| 入 | 旋 | 进 | 旋 | 寺 | 证 1 入 | 讲师 
BIE|IFIGIHITIJIREIEIMINIOIP RISIT WIXIYIZIAIB|IC 
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可 让 每 个 字母 等 价 一 个 数字 ,如 下 : 


a b c d e f g h i j k 1 m n 
0 1 2 3 4 5 7 8 9 6 | 好 | 说 | 禾 
o p q r s t u V w 4 y 用 
14 15 16 17 18 19 20 绝 22 23 24 25 


对 每 个 明文 字母 m, 用 密 文 字母 c 代 换 ,那么 Caesar 密码 算法 如 下 所 示 。 
。 加 密 : C=E(m)==(m 十 3) mod 26 
。 解密 : M=D(c)=(c 一 3) mod 26 


移 位 可 以 是 任意 的 ,如 果 用 k(1<k 过 25) 表 示 移 位 数 , 则 通用 的 Caesar 密码 算法 表示 如 下 。 
。 加 密 : C=Ei(m)= 二 (mm 十 k) mod 26 
。 解密 : M==Di(c)==(c 一 k) mod 26 


对 Caesar 密码 安全 性 的 分 析 如 下 所 示 。 

前 面 已 经 介绍 过 ,对 密码 的 分 析 是 基于 Kerckhoff 假设 的 。 因 此 假设 攻击 者 知道 使 用 
Caesar 密码 加 密 。 如 果 攻 击 者 只 知道 密 文 , 即 唯 密 文 攻击 ,只 要 穷 举 测试 所 有 可 能 字母 移 
位 的 距离 ,最 多 尝试 25 次 。 实 际 上 攻击 者 为 了 加 快 穷 举 速度 ,只 要 对 密 文中 一 个 单词 进行 
猜想 解密 ,就 可 以 加 快 判断 密 钥 的 正确 性 。 如 果 攻 击 者 知道 一 个 字符 以 及 它 对 应 的 密 文 , 即 
已 知 明文 攻击 ,那么 攻击 者 很 快 就 会 通过 明文 字符 和 对 应 的 密 文字 符 之 间 的 距离 推算 出 密 
钥 。 这 个 例子 说 明 一 个 密码 体制 安全 至 少 要 能 够 抵抗 穷 举 密 钥 搜索 攻击 ,普通 的 做 法 是 将 
密 钥 空间 变 得 足够 大 。 但 是 ,很 大 的 密 钥 空间 并 不 是 保证 密码 体制 安全 的 充分 条 件 , 下 面 的 
例子 可 以 说 明 这 一 点 。 

我 们 对 Caesar 密码 进行 改进 ,假设 密 文 是 26 个 字母 的 任意 代 换 , 密 钥 是 明文 字母 到 密 
文字 母 的 一 个 字母 表 , 密 钥 长 度 是 26 字 长 。 

例如 字母 代 换 表 如 下 : 

a | bleldlel {lalb|li lm lp les| tll | | 和 || 六 
DIKIVIQIFITIBIT WIPIESIElXAIITIMIYIAIUVIOLLRIGIZIN 


若 加 密 的 明文 为 fwewishtoreplaceletters, 那 么 对 应 的 密 文 为 WIRFRWAJUHYFTS 
DVFSFUUFYA。 

上 面 的 字母 代 换 表 由 通信 双方 事先 设计 好 ,一 个 更 实际 的 构造 字母 代 换 表 的 方法 是 使 
用 一 个 密码 句子 。 如 密 钥 句子 为 the message was transmitted an hour ago, 按 照 密 钥 句子 
中 的 字母 依次 填 入 字母 表 ( 重 复 的 字母 只 用 一 次 ), 未 用 的 字母 按 自然 顺序 排列 。 这 样 可 以 
构造 如 下 的 字母 代 换 表 。 

原 字母 表 如 下 : 


代 换 字母 表 如 下 : 


HE|MSs|AlclwlRlNLLIplolulalclFlIIKILPLQLVIxiYLz 


42 信息 安全 原理 与 技术 (第 2 版 ) 


车 明文 为 please confirm receipt, 使 用 上 面 的 代 换 字母 表 , 则 密 文 为 CDSTKSEBUARJ 
OJSESRCL 。 

使 用 上 面 的 方法 代 换 ,总 共有 26! 二 4X10” 种 密 钥 ,从 表 3. 1 可 以 看 到 穷 举 搜索 这 么 多 
的 密 钥 很 困难 。 但 这 并 不 表示 该 密码 不 容易 破解 。 破 解 这 类 密码 的 突破 点 是 由 于 语言 本 身 
的 特点 是 充满 元 余 的 ,每 个 字母 使 用 的 频率 不 相等 。 由 于 上 面 加 密 后 的 密 文 实际 上 是 明文 
字母 的 一 个 排列 ,因此 单 表 代 换 密码 没有 改变 字母 相对 出 现 的 频率 ,明文 字母 的 统计 特性 在 
密 文中 能 够 反映 出 来 , 即 保持 明文 的 统计 特性 不 变 。 通 过 统计 密 文 字母 的 出 现 频率 ,可 以 确定 
明文 字母 和 密 文字 母 之 间 的 对 应 关系 。 英 文字 母 中 单字 母 出 现 的 频率 如 图 3. 3 所 示 。 


14 [a 
下 
> 
12 
10 癌 
名 
一 5 
¥ ee [a 
证 8| 御 郧 
和 8 
Es 于 o [oA] 
Ee S 从 总 
如 6 百 a 
突 了 
be pe 
s 
4 a 下 oo 
名 ha 
& 
oi 六 王 汪 人 S 癌 二 
a QS a a Ci 外 
令 a 
2 让 a 而 名 曾 
= 六 pe 
Bs 办 咱 呈 首 冯 
ss 有 er 
0 号 Ss Ss 
ub ee de leh kk limo op ts tt dy yw 


3.3 ”英文 字母 中 单字 母 出 现 的 频率 


图 3. 3 中 的 26 个 字母 按照 出 现 频率 的 大 小 可 以 分 为 下 面 5 类 。 

(1) e: 出 现 的 频率 大 约 为 12.7%。 

(2) tvavovi.n,s、h、r: 出 现 的 频率 大 约 为 6% 一 9%。 

(3) d 和 1: 出 现 的 频率 约 为 4%。 

(4) cu、m、w,f.gy.p\b: 出 现 的 频率 大 约 为 1. 5%~2. 8%。 

(5) vkj、x.q、z: 出 现 的 频率 小 于 1%。 

双 字 母 和 三 字母 组 合 都 有 现成 的 统计 数据 ,常见 的 双 字母 组 合 和 三 字母 组 合 统计 表 能 

够 帮助 破解 密 文 。 

出 现 频率 最 高 的 30 个 双 字母 (按照 频率 从 高 到 低 排列 ) 如 下 : 
th he in er an re ed on es st 
en at to nt ha nd ou ea ng as 
or ti is et it ar te se hi of 

出 现 频率 最 高 的 20 个 三 字母 (按照 频率 从 高 到 低 排列 ) 如 下 : 


the ing and her ere ent tha nth was eth 
for dth hat she ion int his sth ers ver 
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例 3.1 已 知 下 面 的 密 文 是 由 单 表 代 换 产生 的 。 

UZQSOVUOHXMOPVGPOZPEVSGZWSZOPFPESXUDBMETSXAIZVUEPHZH 
MDZSHZOWSFPAPPDTSVPQUZWYMXUZUHSXEPYEPOPDZSZUFPOMBZWPFUP 
ZHMDJUDTMOHMQ 

试 破译 该 密 文 。 

首先 统计 密 文中 字母 出 现 的 频率 ,然后 与 英文 字母 出 现 的 频率 进行 比较 。 密 文中 字母 
的 相对 频率 统计 如 表 3.2 所 示 。 


表 3.2 密 文中 字母 的 相对 频率 统计 


频率 频率 

字母 | 次 数 (%) 次 数 (9%) 
A 2 1.67 5 4.17 
B 2 1.67 4 3.33 
& 0 0.00 | 5 4.17 
D 6 5.00 2 1.67 
E 6 5.00 14 | 11.67 
F 4 3.33 5 4.17 
G 2 1.67 4 3.33 


将 统计 结果 与 图 3. 3 进行 比较 ,可 以 猜测 密 文 中 P 与 Z 可 能 是 e 和 t+, 密 文中 的 SU、 
O、M 出 现 频率 比较 高 ,可 能 与 明文 字母 中 出 现 频率 相对 较 高 的 ao\i\n\s\h.r 这 些 字 母 对 
应 。 密 文中 出 现 频率 很 低 的 几 个 字母 C.K、L、N、R、IJ 可 能 与 明文 字母 中 出 现 频率 较 低 的 
字母 v.k,j、x、q、z 对 应 。 就 这 样 边 试 边 改 ,最 后 得 到 如 下 明文 。 

it was disclosed yesterday that several informal but direct contacts have been made 
with political representatives of the viet cong in moscow 

在 尝试 过 程 中 ,如 果 同 时 使 用 双 字 母 和 三 字母 的 统计 规律 ,那么 更 容易 破译 密 文 。 如 上 
面 的 密 文中 出 现 最 多 的 双 字 母 是 ZW , 它 可 能 对 应 明文 双 字 母 出 现 频率 较 大 的 th, 那 么 
ZWP 就 可 能 是 the, 这 样 就 更 容易 试 出 明文 。 

2. 乘法 密码 

对 每 个 c,m E 2 ,乘法 密码 的 加 密 和 解密 算法 是 : 

C= E(m) = (mk) modn 

M= Di(c) = (gk ') modn 
其 中 和 nn 互 素 , 即 gcd(A,z) 一 1 否则 不 存在 模 逆 元 ,不 能 正确 解密 。 显 然 乘法 密码 的 密 
码 空间 大 小 是 p(z) ,yg(n) 是 欧 拉 函 数 。 可 以 看 到 乘法 密码 的 密 钥 空 间 很 小 , 当 为 26 字 
母 , 则 与 26 互 素 的 数 是 1、3、5、7、9、11、15、17、19、21、23、25, 即 p(z) 一 12 因此 乘法 密码 的 
密 钥 空间 为 12 。 

乘法 密码 也 称 采样 密码 ,因为 密 文 字母 表 是 将 明文 字母 按照 下 标 每 隔 & 位 取出 一 个 字 
母 排列 而 成 。 

例 3.2 英文 字母 ,选取 密码 为 9, 使 用 乘法 密码 的 加 密 算法 ,那么 明文 字母 和 密 文字 母 
的 代 换 表 构 造 如 表 3. 3 所 示 。 
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表 3.3 明文 字母 和 密 文字 母 的 代 换 表 


原 字 母 mleloie liele i 
原 字 母 的 值 0 1 区 3 4 5 6 7 8 9 10 11 12 
代 换 字母 的 值 0 9 18 1 10 19 2 11 20 3 12 21 4 
代 换 字母 A J S B K 工 Cc L U D M V E 
原 字母 n oO p q r Ss t u v Ww x y z 
原 字 母 的 值 13 14 15 16 17 18 19 20 21 22 23 24 25 
代 换 字母 的 值 13 22 5 14 23 6 5 24 学 16 25 8 17 
代 换 字母 N Ww F O xX G P 于 H Q Z 1 R 


若 明 文 为 a man liberal in his views, 那 么 密 文 为 AENVUJKXUNLUGHUKQG。 


3. 仿 射 密码 


将 加 法 密码 和 乘法 密码 结合 就 构成 了 仿 射 密码 , 仿 射 密码 的 加 密 和 解密 算法 是 : 


C= E(m)= (km+t+k:) modn 
M= Di(c) = ki(c—ks) modn 


仿 射 密码 具有 可 逆 性 的 条 件 是 gcd(k,n) = 二 1。 当 二 0 时 , 仿 射 密码 变 为 加 法 密码 , 当 


ks 二 0 时 , 仿 射 密码 变 为 乘法 密码 。 


仿 射 密码 中 的 密 钥 空间 的 大 小 为 ng(n), 当 nn 为 英文 字母 的 个 数 , 即 26,g(n) 二 12, 因 此 


仿 射 密码 的 密 钥 空间 为 12X26 王 312。 

例 3.3 设 密 钥 ===(7,3) ,用 仿 射 密码 加 密 明文 hot。 

3 个 字母 对 应 的 数值 是 7、14 和 19。 分 别 加 密 如 下 : 
(7X7 十 3) mod 26=52 mod 26=0 
(7X14 十 3) mod 26=101 mod 26=23 
(7X19 十 3) mod 26=136 mod 26=6 

3 个 密 文 数值 为 0.23 和 6, 对 应 的 密 文 是 AXG 。 

例 3.4 假设 获得 仿 射 密码 加 密 的 密 文 是 : 


FMXVEDKAPHRERBNDKRXRSREFMORUD5DXYV5HVUPEDKAPRKDLYEVLRHHHRH 


试 破译 该 密码 。 


同样 可 以 统计 密 文中 各 字母 出 现 的 频率 ,然后 与 英文 字母 出 现 频率 比较 ,在 尝试 过 程 中 


同时 要 考虑 仿 射 密码 的 条 件 。 
各 个 字母 出 现 的 频率 统计 如 表 3.4 所 示 。 
表 3.4 例 3.4 中 各 字母 出 现 的 频率 


字母 频率 (次 数 ) 字母 ”| 频率 (次 数 ) 频率 (次 数 ) 字母 ”| 频率 (次 数 ) 
A 2 H 5 1 V 4 

B LL I 0 2 W 0 

C 0 J 0 0 x 了 

D K 5 8 ¥ 1 

E 5 下 2 3 EA 0 

F 4 M 2 0 

G 0 N 1 2 
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这 里 虽然 只 有 57 个 字母 ,但 它 足 以 分 析 仿 射 密码 ,最 大 频率 的 密 文字 母 是 R(8 次 ),D 
(7 次 ),E、H、K( 各 5 次 ) 和 S、F、V( 各 4 次 )。 首先 ,我 们 可 以 猜想 R 是 e 的 加 密 , 而 DD 是 tt 
的 加 密 , 因 为 e 和 +t 是 两 个 出 现 频 率 最 高 的 字母 。e 和 + 对 应 的 数值 是 4 和 19,R 和 了 DD 对 应 
的 数值 是 17 和 3。 对 于 仿 射 密码 ,有 c= (kim 十 ks)。 
所 以 我 们 有 如 下 的 关于 两 个 未 知 数 线性 方程 组 ， 
17=4ki 十 ks 
13=19ki 十 kk, 
这 个 方程 组 有 了 唯一 解 & 二 6,ks 二 19, 但 这 不 是 一 个 合法 的 密 钥 ,因为 gcd(6,26) 二 2, 不 
等 于 1。 
我 们 再 猜测 R 是 e 的 加 密 , 而 EE 是 t 的 加 密 , 继 续 使 用 上 述 的 方法 ,得 到 二 13, 这 也 
是 一 个 不 合法 的 密 钥 。 再 试 一 种 可 能 性 : R 是 e 的 加 密 ,H 是 t 的 加 密 , 则 有 处 二 8, 这 也 是 
不 合法 的 。 继 续 进行 ,我 们 猜测 R 是 e 的 加 密 ,K 是 t 的 加 密 , 这 样 可 得 & 二 3,ks 二 5, 首 先 
它 至 少 是 一 个 合法 的 密 钥 , 下 一 步 工 作 就 是 检验 密 钥 天 = 一 (3,5) 的 正确 性 。 如 果 我 们 能 得 
到 有 意义 的 英文 字母 串 , 则 可 证 实 该 密 钥 是 有 效 的 。 对 密 文 进行 解密 有 : 


algorithms are quite general definitions of arithmetic processes 
3.4.2 多 表 代 换 密码 


单 表 代 换 密码 是 将 明文 的 一 个 字母 唯一 地 代 换 为 一 个 字母 。 加 密 后 的 密 文 具有 明文 的 
特征 ,通过 统计 密 文 中 字母 出 现 的 频率 能 够 比较 方便 地 破解 密 文 。 要 提高 密码 的 强度 ,应 该 
让 明文 结构 在 密 文 中 尽量 少 出 现 。 多 表 代 换 密码 和 多 字母 代 换 密码 能 够 减少 这 种 密 文 字 
母 和 明文 字母 之 间 的 对 应 关系 。 本 节 将 介绍 多 表 代 换 密码 ,第 3. 4. 3 节 将 介绍 多 字母 代 
换 密码 。 

多 表 代 换 密码 是 对 每 个 明文 字母 信息 采用 不 同 的 单 表 代 换 ,也 就 是 用 一 系列 (两 个 以 
上 ) 代 换 表 依次 对 明文 消息 的 字母 进行 代 换 的 加 密 方法 。 

如 果 明 文字 母 序列 为 w= 二 mm2…, 令 8 一 万 ,万 ,… 为 代 换 序列 , 则 对 应 的 密 文字 母 序 
列 为 ， 


C= E(m) = fiCm)fo (me) … 
若 代 换 系列 为 非 周期 无 限 序列 , 则 相应 的 密码 为 非 周期 多 表 代 换 密码 。 这 类 密码 对 每 
个 明文 字母 都 采用 了 不 同 的 代 换 表 或 密 钥 进行 加 密 , 称 作 是 一 次 一 密 密 码 (One-Time Pad 
Cipher)。 这 是 一 种 在 理论 上 唯一 不 可 破 的 密码 ,一 次 一 密 对 于 明文 的 特征 可 实现 完全 隐 
蔽 ,但 由 于 需要 的 密 钥 量 和 明文 消息 长 度 相 同 而 难以 广泛 使 用 。 
在 实际 中 ,经常 采 用 周期 多 表 代 换 密码 , 它 通常 只 使 用 有 限 的 代 换 表 , 代 换 表 被 重复 使 
用 以 完成 对 消息 的 加 密 。 此 时 代 换 表 系列 为 : 
一 万: 户 1 
在 对 明文 字母 序列 为 二 mims… 进 行 加 密 时 ,相应 的 密 文字 母系 列 为 : 
C= En) = fm) fem) falma) fi man) fCmars) “falm2a) 
当 d=1 时 ,多 表 代 换 密码 变 为 单 表 代 换 密码 。 


46 信息 安全 原理 与 技术 (第 2 版 ) 


下 面 介绍 一 种 比较 有 名 的 多 表 代 换 密码 一 一 维 吉 尼 亚 密码 。 

1. 维 吉 尼 亚 密码 

维 吉 尼 亚 (Vigenere) 密 码 是 一 种 周期 多 表 代 换 密码 ,由 1858 年 法 国 密码 学 家 维 吉 尼 亚 
提出 。 它 的 形式 化 描述 如 下 。 

密 钥 氏 王 (Ai ,ks,… ,ka),d 为 代 换 周期 长 度 , 将 明文 M 王 (ma ,zz ,… ,mm ) 分 为 长 度 为 d 
的 分 段 。 


加 密 函 数 为 : 
C= E(m)=(Gm+t+h) mod n,m tk) mod ne ,ma ka) modn, 


(man tk) mod n,mas ks) mod ne, (24 + ka) mod n, 


(man t+ hh) mod n,m ar ks) mod n,m ka) mod n) 
如 果 密 文 为 C 二 (csco，… ,ca), 则 解密 函数 为 : 
M= D,(c) =((0 —hk) modn,(cs— ks) mod nc — ka) modn, 


(ca 一 后 ) mod n,(cars — ks) mod ne ,(c24 — ka) mod n, 


(can — Rk) modn,(c a — kk) modmz (cs 一 Re) mod n) 
假设 明文 和 密 文 都 是 26 个 英文 字母 , 维 吉 尼 亚 密 码 常 常 使 用 英文 单词 作为 密 钥 字 , 密 
钥 则 是 密 钥 字 的 重复 。 比 如 密 钥 字 是 computer ,用 它 加 密 明 文 sender and recipient share a 
common key。 那 么 密 钥 将 如 下 所 示 。 
。 明文 : senderandrecipientshareacommonkey 


。 密 钥 : computercomputercomputercomputerc 


维 吉 尼 亚 密码 的 加 密 过 程 简 述 如 下 。 

(1) 写 下 明文 ,表示 为 数字 形式 。 

(2) 在 明文 之 上 重复 写 下 密 钥 字 ,也 表示 为 数字 形式 。 

(3) 加 密 相 对 应 的 明文 : 给 定 一 个 密 钥 字母 A 和 一 个 明文 字母 m ,那么 密 文字 母 则 是 
Gm 十 k) mod 26 计算 结果 所 对 应 的 字母 。 

例 3.5 设 密 钥 字 是 cipher, 明 文 串 是 this cryptosystem is not secure, 求 密 文 。 

在 明文 下 面 重复 写 密 钥 字 , 组 成 密 钥 。 

。 明文 M: thiscryptosystemisnotsecure 

。 密 钥 K: cipherciphercipherciphercip 

将 明文 和 密 钥 转化 为 数字 

明文 M=(19,7,8,18,2,17,24,15,19,14,18,24,18,19,4,12,8,18,13,14,19,18,4， 

2,20,17,4) 

密 铀 及 =(2,8,1557,4,17,2,8515,754517,2,8,1557.45175258519%5754517,2,8.15》 

对 每 个 明文 数字 和 对 应 的 密 钥 数字 ,使 用 ci 二 (mi 十 ki)mod 26 加 密 。 得 到 密 文 数字 为 
C= (21,15,23,25,6,8,0,23,8,21,22,15,21,1,19,19,12,9,15,22,8,25,8,19,22,25,19) 


于 是 密 文 为 : 
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VPXZGIAXIVWPUBTTMJPWIZITWZT 

可 以 看 出 , 维 吉 尼 亚 密码 是 将 每 个 明文 字母 映射 为 几 个 密 文字 母 ,如 果 密 钥 字 的 长 度 是 
mm,， 则 明文 中 的 一 个 字母 能 够 映射 成 这 m 个 可 能 的 字母 中 的 一 个 。 因 此 密 文中 字母 出 现 的 
频率 被 隐蔽 了 , 它 的 安全 性 明显 比 单 表 代 换 密码 提高 了 。 维 吉 尼 亚 密码 的 密 钥 空间 比较 
大 ,对 于 长 度 是 m 的 密 钥 字 , 密 钥 空间 为 26”, 当 m 二 5, 密 钥 空间 所 含 密 钥 的 数量 大 
于 1.1X107。 

2. 一 次 一 密 

一 次 一 密 是 非 周 期 多 表 代 换 密码 , 它 使 用 与 明文 一 样 长 且 无 重复 的 随机 密 钥 来 加 密 明 
文 ,并 且 该 密 钥 使 用 一 次 后 就 不 再 使 用 。 在 实际 使 用 时 ,通信 双方 事先 协商 一 个 足够 长 的 密 
钥 序 列 ,要 求 密 钥 序列 中 的 每 一 项 都 是 按 均匀 分 布 随机 地 从 一 个 字符 表 中 选取 的 。 双 方 各 
自 秘密 保存 密 钥 序 列 。 每 次 通信 时 ,发 送 方 用 自己 保存 的 密 钥 序列 中 的 密 钥 , 按 次 序 对 要 发 
送 的 消息 进行 加 密 。 消 息 加 密 完 成 后 ,把 密 钥 序列 中 刚 使 用 过 的 这 一 段 销 毁 。 接 收 方 每 次 
收 到 密 文 消息 后 ,使 用 同样 的 密 钥 序列 解密 。 解 密 完 成 后 ,立即 把 密 钥 序 列 中 刚 使 用 过 的 这 
一 段 销毁 。 由 于 密 钥 是 随机 的 ,用 它 加 密 明文 后 的 密 文 也 是 随机 的 , 密 文中 没有 任何 明文 的 
特征 ,因此 这 个 加 密 方案 是 绝对 完全 的 。 

例如 ,明文 是 cryptosystem, 选 取 的 密 钥 序 列 是 djfstlngwjpw。 


明文 转换 数字 为 : 
M=(2,17,24,15,19,14,18,24,18,19,4,12) 
密 钥 转换 数字 为 : 
K=(3,9,5,18,19,11,13,6,22,9,15,22) 
那么 可 以 得 到 密 文 数字 为 : 


C=(5,0;3,7,12,2555;4;14,2,19;,8) 
则 密 文 为 fadhmzfeocti。 
当 明 文中 的 字符 是 位 时 , 密 钥 序列 中 的 一 项 也 是 一 位 。 加 密 时 常 采用 位 异 或 。 
例如 , 设 明 文 消息 是 0010101, 密 钥 是 10101100, 那 么 加 密 过 程 如 下 : 
密 文 = 明文 @ 密 钥 ==0010101 @ 10101100 王 10000101 
解密 时 将 密 文 与 密 钥 异 或 : 
明文 = 密 文 四 密 钥 二 10000101 @ 10101100 王 0010101 

一 次 一 密 不 可 破解 的 原因 是 ,对 于 一 段 密 文 ,与 密 文 相 同 长 度 的 字母 串 都 可 能 是 明文 ， 
密 文 不 能 提供 明文 和 密 钥 的 任何 信息 。 对 任何 与 密 文 一 样 长 的 明文 ,也 存在 一 个 密 钥 用 于 
产生 这 个 明文 。 也 就 是 说 你 用 穷 举 搜索 所 有 可 能 的 密 钥 ,就 会 找到 大 量 可 读 的 明文 ,也 就 不 
可 能 确定 哪 一 个 是 真正 需要 的 明文 ,可 见 一 次 一 密 是 绝对 安全 的 。 

由 于 一 次 一 密 的 安全 性 是 取决 于 密 钥 的 随机 性 ,因此 首先 需要 解决 产生 随机 的 密 钥 序 
列 的 问题 ,但 产生 大 规模 随机 密 钥 是 一 件 很 困难 的 事情 ,目前 还 没有 很 好 的 办 法 来 解决 这 个 
问题 。 另 外 , 密 钥 分 配 也 是 一 个 难点 ,由 于 密 钥 不 允许 重复 使 用 ,因此 存在 大 量 的 密 钥 分 配 
问题 。 由 于 这 些 困难 ,在 实际 中 人 们 很 少 使 用 一 次 一 密 , 一 次 一 密 主 要 是 用 于 高 度 机 密 的 低 
带宽 信道 。 


3.4.3 多 字母 代 换 密码 
前 面 介绍 的 密码 都 是 以 单字 母 作为 代 换 对 象 ,如 果 每 次 对 多 个 字母 进行 代 换 就 是 多 字 
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母 代 换 密码 。 多 字母 代 换 的 优点 是 容易 隐藏 字母 的 自然 出 现 频率 ,有 利于 对 抗 统计 分 析 。 
下 面 介绍 常见 的 多 字母 代 换 密码 。 

1. Playfair 密码 

Playfair 密码 是 将 明文 中 的 双 字 母音 节 作 为 一 个 单元 ,并 将 其 转换 成 密 文 的 双 字 母音 
节 ( 即 一 次 代 换 两 个 字母 )。Playfair 算法 是 基于 一 个 由 密 钥 组 成 的 5X5 阶 和 矩阵 。 假 设 密 
钥 是 monarchy, 构 建 矩 阵 的 方法 是 将 密 钥 (去 掉 重 复 的 字母 ) 从 左 到 右 `, 从 上 到 下 填 人 和 矩阵 
中 ,再 将 剩余 的 字母 按照 字母 表 的 顺序 依次 填 人 。 在 该 矩阵 中 ,字母 1 和 j 和 暂且 被 看 作 一 个 
字母 。 这 样 可 以 构成 如 下 的 密 钥 和 矩阵 。 


M | 0O N A R 
忆 H 到 B D 
E F G VJ K 
下 P Q S 全 
U V Ww 于 Zz 


Playfair 按照 下 面 的 原则 加 密 与 解密 。 

每 次 以 两 个 字母 为 一 个 单位 进行 操作 。 

(1) 如 果 这 两 个 字母 一 样 , 则 在 中 间 插 入 一 个 字母 x( 事 先 约定 的 一 个 字母 ) ,如 balloon 
变 成 ba lx lo on。 

(2) 如 果 明 文 长 度 不 是 2 的 倍数 , 则 在 最 后 填 人 一 个 实现 约定 的 字母 x。 如 table 变 为 
ta bl ex。 

(3) 如 果 两 个 字母 在 矩阵 的 同一 行 , 则 用 它 右边 的 字母 来 代替 它 ( 最 后 一 个 字母 的 右边 
是 第 1 个 字母 ) ,如 ar 被 加 密 变 为 RM。 

(4) 如 果 两 个 字母 在 同一 列 , 则 用 它 下 面 的 字母 来 代替 它 (最 底下 的 字母 的 下 一 个 是 该 
列 第 1 个 字母 ) ,如 mu 被 加 密 变 为 CM。 

(5) 其 他 的 字母 都 用 它 同一 行 , 另 一 个 字母 的 同一 列 相交 的 字母 代替 ,如 hs 加 密 变 为 
BP,ea 变 为 IM 或 者 JM( 由 加 密 者 自行 决定 ) 。 

例 3.6 假设 密 钥 是 cipher, 使 用 Playfair 算法 加 密 playfair cipher was actually 
invented by wheatston 。 


由 密 钥 词 cipher 可 构建 如 下 的 密 钥 和 矩阵 。 


古国 项 到 区 :一 项 3 
RE | A | B | DB | 
G|K|r|i|m|iNn 
本 一 耳 到 医 到 区 
区区 本 区 合葬 
将 明文 按照 两 个 字母 分 组 为 : 


pl ay fa ir ci ph er wa sa ct ua lx ly in ve nt ed by wh ea ts to nx 

则 密 文 为 : 
BS DW RB CA IP HE CF IK QB HO QF SP MX EK ZC MU HF DX YI IF UT UQ LZ 
Playfair 密码 的 安全 性 比 单字 母 代 换 密码 提高 了 许多 , 双 字 母 共有 26 X26 二 676 组 合 ， 
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因此 频率 统计 分 析 表 中 需要 676 条 统计 数据 (而 单 表 代 换 密码 只 有 26 条 ) ,另外 Playfair 密 
码 比 单字 母 代 换 更 好 地 隐藏 了 明文 中 单字 母 的 结构 。 一 个 字母 可 能 代 换 为 不 同 的 字母 ,如 
在 使 用 密 钥 词 是 monarchy 构成 的 矩阵 中 ,我 们 观察 字母 a 与 不 同 的 字母 组 合 加 密 后 的 变 
化 ,如 as 一 BX ar~RM、af-~OI 等 ,字母 a 可 以 变换 为 了 B, 以 及 a 所 在 行 的 所 有 字母 ( 除 a 自 
己 外 )。 如 果 密 钥 词 变化 ,那么 a 在 理论 上 可 以 代 换 为 除 自己 外 的 任何 一 个 字母 ,因此 
Playfair 密码 能 够 较 好 地 隐藏 明文 的 特征 。Playfair 密码 在 过 去 一 段 时 间 曾 经 被 广泛 使 用 ， 
在 第 一 次 世界 大 战 中 被 英 军 作为 最 好 的 密码 系统 使 用 ,在 第 二 次 世界 大 战 中 也 曾经 被 美军 
和 盟 军 大 量 使 用 。 当 然 现在 看 来 ,该 密码 的 安全 性 是 很 低 的 , 它 还 有 明文 的 部 分 特征 ,只 要 
给 定 几 百 个 字母 的 密 文 情 况 下 ,该 加 密 方法 就 可 以 被 破解 。 
2.Hil 密码 
该 密码 是 1929 年 由 数学 家 Lester Hill 发 明 的 一 种 多 字母 代 换 密码 。 加 密 算 法 将 个 
明文 字母 蔡 换 成 m 个 密 文字 母 (Hill, 密码 表示 m 个 明文 字母 为 一 组 )。 这 种 代 换 由 痉 个 
线性 方程 决定 。 
如 果 mm 二 3, 则 该 密码 系统 可 以 表示 为 : 
Ci = (kum +t kms +t kims) mod 26 
Cs = (kan + kzms + kzs1m3) mod 26 


Cs = (kami 十 kmms 十 kaam3) mod 26 
用 向 量 或 者 矩阵 表示 为 : 


ku ks ks] fm 
= |ka kz kzs | |me 
C3 31 ks kssd Lms 


其 中 C 和 M 是 长 度 为 3 的 列 向 量 , 分 别 代表 密 文 和 明文 ,K 是 一 个 3X3 的 矩阵 ,代表 加 密 
密 钥 。 运 算 按照 模 26 执行 。 

一 个 Hill, 密码 加 密 过 程 可 以 简单 描述 如 下 。 

(1) 将 明文 字母 以 m 个 字母 为 单位 进行 分 组 ,车 最 后 一 组 没有 m 个 字母 , 则 补足 没有 
任何 实际 意义 的 哑 字 母 ( 双 方 可 以 事先 约定 这 些 字母 ) ,并 用 数字 表示 这 些 字母 。 

(2) 选择 一 个 m 阶 可 逆 方 阵 K, 称 为 Hill, 密码 的 加 密 矩 阵 。 

(3) 对 每 m 个 字母 为 一 组 的 明文 字母 ,用 它 对 应 的 值 构 成 一 个 m 维 向 量 。 

(4) 计算 密 文 的 值 C=km mod 26, 然 后 反 查 字母 表 的 值 ,得 到 对 应 的 mm 个 密 文 字母 。 

(5) 同样 的 方式 计算 其 他 明文 分 组 的 密 文 。 

例 3.7 用 Hill; 对 明文 pay more money 加 密 ,加密 密 钥 为 : 
17 17 9 
21 18 21 

2 2 19 

将 明文 3 个 字母 分 为 一 组 ,pay mor emo ney, 前 面 3 个 字母 的 值 用 向 量 表示 为 : 


15 
pay 一 | 0 
24 


a 


mod 26 或 者 C= 二 KM mod 26 


C2 


k 一 


该 3 个 字母 的 加 密 过 程 为 : 
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15 3751 1 
“| = |819| mod 26 = -i 
24 4861 L18 
以 此 类 推 , 可 得 整个 明文 对 应 的 密 文 是 LSN HDL EWN TRW 。 
解密 时 使 用 逆 和 矩阵 : 
Tr4 9 15] 
本 
L24 0 17] 
E 
对 于 密 文 LSN, 即 |13| ,解密 过 程 为 : 
18 
11 ¥5 
K- |13| mod 26 = | | 一 pay 
18 24 


Hill 密码 能 够 很 好 地 隐藏 单字 母 出 现 的 频率 ,可 以 抵抗 统计 频率 分 析 , 但 面 对 已 知 明 
文 攻击 就 很 容易 被 破译 。 


3.4.4 置换 密码 


代 换 密码 是 将 明文 字母 用 不 同 的 密 文 字母 代替 。 置 换 密码 (Permutation Cipher) 则 保 
持 明 文 的 所 有 字母 不 变 , 只 是 打 乱 明文 字母 的 位 置 和 次 序 , 所 以 有 时 也 称 换 位 密码 
(Transposition Cipher) , 它 的 实现 方法 有 很 多 。 下 面 介 绍 一 种 列 置换 加 密 方法 。 

假如 用 密 钥 network ,加 密 明 文 permutation cipher hide the message by rearranging 
the letter order。 

将 明文 按照 密 钥 的 长 度 一 行 一 行 地 写成 一 个 矩阵 ,然后 按照 密 钥 字母 对 应 的 数值 从 小 
到 大 ,按照 列 读 出 即 为 密 文 。 

密 钥 : 
明文 : 


一 


5 
onsw<oen -ncse 
一 
on -Tn wna 


古 和 
0 +n 0 mo" or 


nn "m+n 0 -ee ee 


在 密 钥 network 中 ,字母 对 应 的 数字 从 小 到 大 排列 是 eknortw, 按 照 这 个 顺序 读 出 上 面 
和 矩阵 的 列 即 是 密 文 : 

EIEHGRGTRAPESEIEDPTHTAANTEUCIEYNEOTIDSRGLRROREERTE MNHMBAHR 

置换 密码 比较 简单 ,经 不 起 已 知 明文 的 攻击 。 但 是 置换 密码 与 代 换 密码 相 结合 ,可 以 得 
到 效果 很 好 的 密码 。 
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3.5 ”数据 加 密 标准 


1949 年 Shannon 的 论文 (保密 系统 的 通信 理论 ), 标 志 着 密码 学 作为 一 门 独 立 的 学 科 的 
形成 。 从 此 ,信息 论 成 为 密码 学 的 重要 的 理论 基础 之 一 。Shannon 建议 采用 扩散 
(Diffusion) ,混淆 (Confusion) 和 乘积 迭代 的 方法 设计 密码 。 所 谓 扩 散 就 是 将 每 一 位 明文 和 
密 钥 的 影响 扩散 到 尽 可 能 多 的 密 文 数字 中 。 这 样 使 得 密 钥 和 明文 以 及 密 文 之 间 的 依赖 关系 
相当 复杂 ,以 至 于 这 种 依赖 性 对 密码 分 析 者 来 说 无 法 利用 。 产 生 扩 散 的 最 简单 的 方法 是 置 
换 。 混 淆 用 于 掩盖 明文 和 密 文 之 间 的 关系 。 使 得 密 钥 的 每 一 个 位 影响 密 文 的 许多 位 ,以 防 
止 对 密 钥 进行 逐 段 破译 ,并 且 明 文 的 每 一 个 位 也 应 影响 密 文 的 许多 位 ,以 便 隐 蔽 明文 的 统计 
特性 。 用 代 换 方法 可 以 实现 混淆 。 混 奖 就 是 使 密 文 和 密 钥 之 间 的 关系 复杂 化 。 密 文 和 密 钥 
之 间 的 关系 越 复杂 , 则 密 文 和 明文 之 间 、 密 文 和 密 钥 之 间 的 统计 相关 性 就 越 小 ,从 而 使 统计 
分 析 不 能 奏效 。 设 计 一 个 复杂 的 密码 一 般 比 较 困 难 , 而 设计 一 个 简单 的 密码 相对 比较 容易 ， 
因此 利用 乘积 迭代 的 方法 对 简单 密码 进行 组 合 迭 代 , 可 以 得 到 理想 的 扩散 和 混淆 ,从 而 得 到 
安全 的 密码 。 近 代 各 种 成 功 的 分 组 密码 (如 DES、AES 等 ) ,都 在 一 定 程度 上 采用 和 体现 了 
Shannon 的 这 些 设计 思想 。 

为 了 适应 社会 对 计算 机 数据 安全 保密 越 来 越 高 的 需求 ,美国 国家 标准 局 (NBS) , 即 现 在 
的 美国 国家 标准 和 技术 研究 所 (NIST) 于 1973 年 5 月 向 社会 公开 征集 标准 加 密 算法 ,并 公 
布 了 它 的 设计 要 求 。 

(1) 算法 必须 提供 高 度 的 安全 性 。 

(2) 算法 必须 有 详细 的 说 明 ,并 易于 理解 。 

(3) 算法 的 安全 性 取决 于 密 钥 ,不 依赖 于 算法 。 

(4) 算法 适用 于 所 有 用 户 。 

(5) 算法 适用 于 不 同 应 用 场合 。 

(6) 算法 必须 高 效 、 经 济 。 

(7) 算法 必须 能 被 证 实 有 效 。 

1974 年 8 月 27 日 ,NBS 开始 第 二 次 征集 ,IBM 提交 了 算法 LUCIFER ,该 算法 由 
Feistel 领导 的 团队 研究 开发 ,采用 64 位 分 组 以 及 128 位 密 钥 。IBM 用 改版 的 Lucifer 算法 
参加 竞争 ,最 后 获胜 ,成 为 数据 加 密 标准 (Data Encryption Standard,DES)。1976 年 11 月 
23 日 ,采纳 为 美国 联邦 标准 ,批准 用 于 非 军事 场合 的 各 种 政府 机 构 。1977 年 1 月 15 日 , 数 
据 加 密 标准 , 即 FIPS PUB 46 被 正式 发 布 。DES 是 分 组 密码 的 典型 代表 ,也 是 第 一 个 被 公 
布 出 来 的 加 密 标准 算法 。 现 代 大 多 数 对 称 分 组 密码 也 是 基于 Feistel 密码 结构 的 。 


3.5.1 DES 加 密 过 程 

DES 同时 使 用 了 代 换 和 置换 两 种 技巧 。 它 用 56 位 密 钥 加 密 64 位 明文 ,最 后 输出 64 位 
密 文 。 整 个 过 程 由 两 大 部 分 组 成 : 一 个 是 加 密 过 程 ; 另 一 个 是 子 密 钥 产 生 过 程 。 图 3.4 是 
DES 加 密 算法 简 图 。 

可 以 将 图 3.4 左 半边 的 处 理 过 程 分 以 下 3 个 部 分 。 
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加 密 过 程 子 密 钥 产生 


64 位 明文 64 位 密 钥 输入 
初始 置换 产生 16 个 48 位 的 子 密 钥 


3.4 DES 加 密 算法 简 图 


(1) 64 位 明文 经 过 初始 置换 被 重新 排列 ,然后 分 左右 两 半 , 每 半 各 32 位 。 

(2) 左右 两 半 经 过 16 轮 置 换 和 代 换 迭代 , 即 16 次 实施 相同 的 变换 ,然后 再 左右 两 半 互 换 。 

(3) 互 换 后 的 左右 两 半 合 并 ,再 经 过 逆 初 始 置 换 输出 64 位 密 文 。 

图 3.4 右 半 部 则 由 56 位 密 钥 产生 16 个 48 位 子 密 钥 , 分 别 供 左 半边 的 16 轮 迭 代 加 密 
使 用 。 

1. 初始 置换 

初始 置换 (Initial Permutation,IP) 是 数据 加 密 的 第 1 步 ,将 64 位 的 明文 按照 图 3. 5 置 
换 。 置 换 表 中 的 数字 表示 输入 位 在 输出 中 的 位 置 。 
58 50 42 34 26 18 10 
60 52 44 36 28 20 12 
62 54 46 38 30 22 14 
64 56 48 40 32 24 16 
57 49 41 33 25 17 9 
59 51 43 35 27 19 11 
61 83 45 37 29 21 13 
63 55 47 39 3 23 15 


图 3.5 初始 置换 


置换 后 将 数据 M 分 成 两 部 分 : 左 半 部 分 L。 和 右 半 部 分 Ro 各 32 位 。 划 分 方法 原则 是 
偶数 位 移 到 左 半 部 ,奇数 位 移 到 右 半 部 , 即 : 
Lo=Mss Mso Mz: Ms Ms Ms Mo M: 
Mso Ms Mya Ms Ms Mo M1: M, 
Mz Ms Me Ms Mo Ms Mu Ms 
Ms Ms Ms Mo Ms Ma Me Ms 


oo 
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Ro=Ms Ms Ma Ms Ms M1: M MM 
Ms Ms Ms Ms My Ms M: Ms 
Ma Ms Ms My Ms Ma Ms Ms 
Mss Ms M: Ms Ma Ms Ms M 

2. DES 每 轮 结构 

DES 每 轮 的 结构 如 图 3.6 所 示 。 上 一 轮 的 右边 Ri 一 直接 变换 为 下 一 轮 的 左边 志 , 上 一 
轮 的 左边 Li; 与 加 密 函 数 下 异 或 后 作为 下 一 轮 的 右边 Ri。 加 
密 函 数 下 则 是 上 一 轮 右边 Ri-! 和 子 密 钥 ;的 函数 。 即 : 

L; = Ri 
R; = Li 四 FOR ,K;) 

加 密 函 数 下 本质 上 是 尺 ;-, 和 子 密 钥 K; 的 异 或 ,如 图 3.7 
所 示 。 但 由 于 它们 的 位 数 不 一 样 , 不 能 直接 运算 。 从 上 式 可 以 
看 出 加 密 函 数 下 是 32 位 的 ,而 Ri_1 是 32 位 的 , 子 密 钥 Ki 是 48 
位 的 ,因此 Ri-! 和 ;不 能 直接 异 或 。DES 这 样 处 理 该 问题 : 先 
用 扩展 置换 E( 见 图 3. 8) 将 Ri 扩展 为 48 位 ,与 48 位 子 密 钥 异 或 ,输出 48 位 ,再 使 用 8 个 
S 盒 压缩 成 32 位 ,然后 经 置换 函数 P( 见 图 3.9) 输 出 32 位 的 加 密 函 数 下 。 


3.6 DES 每 一 轮 结构 


R-I(32 位 ) 


Ki(48 位 ) 


3.7 ”加 密 函 数 下 的 计算 过 程 


16 7 20 21 29 12 28 17 
1 15 23 26 5 18 31 10 


24 |25 26 27 28 |29 2 8 24 14 32 27 3 9 
28 |29 30 31 32 1 19 13 30 6 22 11 4 25 


图 3.8 扩展 置换 EE 图 3.9 置换 函数 P 
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在 加 密 函 数 计算 过 程 中 使 用 了 8 个 S 盒 ,S 盒 是 DES 保密 性 的 关键 所 在 , 它 是 一 种 非 
线性 变换 ,也 是 DES 中 唯一 的 非 线性 运算 。S 盒 有 6 位 输入 ,4 位 输出 。48 位 数据 经 过 8 
个 S 盒 后 输出 32 位 数据 。 

每 个 S 盒 都 由 4 行 (表示 为 0.1.2.3) 和 16 列 (0.1、……、15) 组 成 ,如 图 3. 10 所 示 。 每 行 
都 是 全 部 的 16 个 长 为 4 比特 串 的 一 个 全 排列 ,每 个 比特 串 用 它 对 应 的 二 进 制 整数 表示 。 如 
1001 用 9 表示 。48 位 的 输入 被 分 成 8 个 6 位 的 分 组 ,每 个 分 组 进入 一 个 S 盒 进行 代 换 操 
作 , 然 后 映射 为 4 位 输出 。 对 每 个 S 盒 ,将 6 位 输入 的 第 一 位 和 最 后 一 位 组 成 一 个 二 进 制 
数 ,用 于 选择 S 盒 中 的 一 行 。 用 中 间 的 4 位 选择 S 例 16 列 中 的 某 一 列 ,行列 交叉 处 的 十 进 
制 数 转换 为 二 进 制 数 可 得 到 4 位 输出 。 


TH 
sl? 15 7 4 14 13 1 10 站 
4 1 14 8 13 6, 2 1 1 ze 9 LA 
15 12 8 2 4 9 1 7 5 1 3 1 0 6 13 
i5 1 B83 WW 6 U3 4 9 7 2 B09 5§ Ww 
入 ，. 计 7 15 2 8 WW 12 0 1 1 9 11 5 
Slot 7 1 1 J 6 9 3 2 15 
13 8 lo 1 3 WW 4 2 1H 6 12 5 14 9 
i i Te i i EE 
“| 7 w 9 3 4 6 10 2 8 5 14 12 11 15 1 
Sa 8 4 9 8 15 3 11 业 | 5 10 14 
1 10 13 0 6 9 8 7 4 15 14 3 1 5 12 
7 15 
S | 13 8i 5 6 15 0 和 1 10 14 9 
“| 7 13 6 3 3 14 5 2 4 
3 6 6 6 Ww 1 1 和 
2 了 2 
| 对 ”和 7 “1 0 15 10 9 8 6 
S| 光 2 1 1 WW WW 7 8- 6 $$ 2 5 6 3 0 14 
11 8 有 15 0 9 10 4 5 3 
12 1 10 15 9 2 6 8 0 13 4 14 7 5 1 
10 15 条 加 证 入， 不 少 和 一 11 3 8 
5 go 1 5 2 8 12 3 7 0 4 10 1 13 11 6 
4 3 2 12 9 5 15 10 1 14 1 7 让 
TT 
13 0 11 7 4 9 1 1 14 3 5 2 2 5 8 6 
S 11 as 12 3 7 W110 1 6 8 0 5 入， 交 
6 11 13 | Wy 动 7 9 5 0 15 14 2 和 
13 2 8 4 6 15 1 1 1 9 3 1M 5 0 12 7 
1 15 13 8 10 Ee 9 2 
a 0 6 10 13 15 3 5 8 
人 0 3 5 6 11 


图 3.10 DES 的 S 盒 


例如 对 于 Si 盒 而 言 ,如 果 输 入 为 011001, 则 行 是 01( 十 进 制 1, 即 S 盒 的 第 2 行 ), 列 
1100(12, 即 S 盒 的 第 13 列 ) ,该 处 的 值 是 9, 转换 为 二 进 制 数 为 1001, 即 为 该 S 盒 的 输出 。 
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3.5.2 DES 子 密 钥 产生 


DES 加 密 过 程 共 迭代 16 轮 ,每 轮 用 一 个 不 同 的 48 位 子 密 钥 。 这 些 子 密 钥 由 算法 的 
56 位 密 钥 产生 。DES 算法 的 输入 密 钥 长 度 是 64 位 ,但 只 用 了 其 中 的 56 位 ,如 图 3. 11 所 
示 。 图 中 无 阴影 部 分 (也 就 是 每 行 的 第 8 位 ) 将 被 忽略 ,主要 用 于 奇偶 校 验 , 也 可 随意 
设置 。 


57 58 59 60 61 62 63 64 


图 3.11 DES 的 输入 密码 
子 密 钥 的 产生 过 程 如 图 3. 12 所 示 。 


输入 56 位 密 钥 
置换 选择 1 
Co Do 
1 1 
循环 左 移 h(1D) 位 循环 左 移 h(1) 位 
1 1 
CI Di 
L T | 置换 选择 2 一 一 Kl 
循环 左 移 h(2) 位 循环 左 移 h2) 位 
C D; 
1 全 一 于 掏 选择 ?| ~ Ks 
| 
循环 左 移 M16) 位 循环 左 移 M16) 位 
1 了 
Cie Di6 
f = | 置换 选择 2 HK 


3.12 子 密 钥 产 生 过 程 


56 位 密 钥 首先 经 过 置换 选择 1( 见 图 3.13) 将 其 位 置 打 乱 重 排 ,并 将 前 28 位 作为 Co( 见 
图 3. 13 中 的 上 面部 分 ) ,后 28 位 Do( 见 图 3. 13 中 的 下 面部 分 ) 。 

接 下 来 经 过 16 轮 ,产生 16 个 子 密 钥 。 每 一 轮 和 迭代 中 ,Ci-， 和 Di 循环 左 移 一 位 或 者 两 
位 ,如 图 3. 14 所 示 。C;-!1 和 D;-1 循 环 左 移 后 变 为 C: 和 D;, 将 C; 和 D; 合 在 一 起 的 56 位 ,经 过 
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置换 选择 2( 见 图 3. 15) ,从 中 挑 出 48 位 作为 这 一 轮 的 子 密 钥 ,这 个 子 密 钥 作 为 前 面 介绍 的 
加 密 函 数 的 一 个 输入 。 再 将 C; 和 D, 循 环 左 移 后 ,使 用 置换 选择 2 产生 下 一 轮 的 子 密 钥 ,如 
此 继续 ,产生 所 有 16 个 子 密 钥 。 


57 49 41 39 25 17 9 

但 58 50 42 34 26 18 
10 2 59 51 43 35 27 
19 11 | 60 52 44 36 
63 55 47 39 31 23 15 

7 62 54 46 38 30 22 
14 6 61 53 45 37 29 
21 13 5 28 20 12 4 


图 3.13 置换 选择 1 


迭代 轮 数 TY 2 3 4 5 6 7 89 WN 13 M1 1 
,2 遍 宙 .和光 生 志 有 罗 人 


14 17 11 24 1 5 3 28 
15 21 10 23 19 12 4 
26 16 27 20 13 2 


34 53 46 42 50 36 29 32 


图 3.15 置换 选择 2 


例 3.8 用 DES 加 密 , 明 文 M=(0123456789ABCDEF)1s 二 (00000001 00100011 01000101 
01100111 10001001 10101011 11001101 11101111),, 密 钥 K 二 (133457799BBCDFF1)16 = 
(00010011 00110100 01010111 01111001 10011011 10111100 11011111 11110001);。 

加 密 过 程 如 下 所 示 。 

(1) 初始 置换 。 

将 明文 M 经 过 初始 置换 后 分 为 左右 两 半 。 

Lo =11001100 00000000 11001100 11111111 

R, =11110000 10101010 11110000 10101010 

(2) 第 1 轮 迭 代 运 算 。 

@ 先 确 定子 密 钥 人 ,将 密 钥 K 经 置换 选择 1 得 : 

GC,=11110000 11001100 10101010 1111 

Do =01010101 01100110 01111000 1111 

左 移 1 位 后 经 过 置换 选择 2 输出 48 位 Ki 。 

Ki=00011011 00000010 11101111 11111100 01110000 01110010 

@ 计算 加 密 函 数 下。 

用 扩展 置换 将 Ro 扩展 为 48 位 ,再 和 KK! 异 或 。 

E(R,)® Ki=01100001 00010111 10111010 10000110 01100101 00100111 


第 3 章 对称 密码 技术 87 


经 8 个 S 盒 输出 32 位 。 
S1(011000)=0101,S:(010001)=1100,S;(011110)=1000,S, (111010)=0010 
Ss (100001)=1011,S6(100110)=0101,S;(010100)=1001,Ss (100111)=0111 
经 置换 函数 PP 输出 加 密 函 数 下 如 下 。 
F=00100011 01001010 10101001 10111011 
@ 由 Lo 和 Ro 计算 出 Li 和 Ri。 
Li=R,=11110000 10101010 11110000 10101010 
Ri=L,® F(Ro, Ki1)=11101111 01001010 01100101 01000100 
因此 经 过 第 1 轮 , 得 到 : 
[Ri,L1]=(EF4A6544FOAAFOAA) 
进行 类 似 的 运算 ,经 过 16 轮 后 得 到 的 结果 是 : 
[Re ,Lie] 一 (0A4CD99543423234)1e 
(3) 道 初始 置换 。 
将 第 16 轮 输出 合并 为 一 个 64 位 比特 串 ,经 过 逆 初 始 置换 后 得 到 64 位 密 文 : 
10000101 11101000 00010011 01010100 
00001111 00001010 10110100 00000101 


3.5.3 DES 解密 


DES 解密 过 程 与 加 密 过 程 在 本 质 上 是 一 致 的 ,加 密 和 解密 使 用 同一 个 算法 ,使 用 相同 
的 步骤 和 相同 的 密 钥 。 主 要 不 同 点 是 将 密 文 作为 算法 的 输入 ,但 是 逆序 使 用 子 密 钥 k, 即 第 
1 轮 使 用 子 密 钥 As ,第 2 轮 使 用 子 密 钥 As ,最 后 一 轮 使 用 子 密 钥 i。 


3.5.4 DES 的 强度 


从 发 布 时 起 ,DES 就 备 受 争议 ,很 多 研究 者 怀疑 它 所 提供 的 安全 性 。 争 论 的 焦点 主要 
集中 在 密 钥 的 长 度 .迭代 次 数 以 及 S 盒 的 设计 等 方面 。 

DES 的 安全 性 依赖 于 S 盒 。 由 于 DES 里 的 所 有 计算 ,除去 S 盒 ,全 是 线性 的 。 可 见 S 
盒 对 密码 体制 的 安全 性 是 非常 重要 的 。 但 是 自从 DES 公布 以 来 ,S 盒 设 计 详细 标准 至 今 没 
有 公开 。 因 此 就 有 人 怀疑 S 盒 里 隐藏 了 陷 门 (Trapdoors)。 然 而 到 目前 为 止 也 没有 任何 证 
据 证 明 DES 里 存在 陷 门 。 事 实 上 ,后 来 表明 S 盒 是 被 设计 成 能 够 防止 差分 密码 分 析 的 。 

DES 将 Lucifer 算法 作为 标准 ,Lucifer 算法 的 密 钥 长 度 为 128 位 ,但 DES 将 密 钥 长 度 
改 为 56 位 。56 位 密 钥 共有 25 一 7.2X1058 个 可 能 值 ,这 不 能 抵抗 穷尽 密 钥 搜 索 攻 击 。 例 如 
在 1997 年 ,美国 科罗拉多 州 的 程序 员 Verser 在 Internet 上 数 万 名 志愿 者 的 协作 下 用 96 天 
的 时 间 找 到 了 密 钥 长 度 为 40 位 和 48 位 的 DES 密 钥 。1998 年 电子 边境 基金 会 (EFF) 使 用 
一 台 价值 25 万 美元 的 计算 机 在 56 小 时 之 内 破译 了 56 位 的 DES。1999 年 ,电子 边境 基金 
会 (EFF) 通 过 Internet 上 的 十 万 台 计 算 机 合作 , 仅 用 22 小 时 15 分 钟 就 破译 了 56 位 的 
DES。 因 此 需要 寻找 一 个 算法 替代 DES。 

另外 ,DES 存在 弱 密 钥 。 如 果 一 个 密 钥 所 产生 的 所 有 子 密 钥 都 是 一 样 的 , 则 这 个 外 部 
密 钥 就 称 为 弱 密 钥 。DES 算法 的 子 密 钥 是 通过 对 一 个 64 位 的 外 部 密 钥 进行 置换 得 到 的 。 
外 部 密 钥 输入 到 DES 后 ,经 密 钥 置换 后 分 成 两 半 ,每 一 半 各 自 独 立 移 位 。 如 果 每 一 半 的 所 
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有 位 都 是 0 或 者 1 ,那么 在 算法 的 任意 一 轮 所 有 的 子 密 钥 都 是 相同 的 。 当 主 密 钥 是 全 0 全 
1 ,或 者 一 半 是 全 0、 一 半 是 全 1 时 ,就 会 发 生 这 种 情况 。 因 此 ,DES 存在 弱 密 钥 。 


3.5.5 三 重 DES 


DES 由 于 安全 问题 ,美国 政府 于 1998 年 12 月 宣布 DES 不 再 作为 联邦 加 密 标准 。 新 的 
美国 联邦 加 密 标 准 是 高 级 加 密 标 准 (ASE)。 在 新 的 加 密 标准 实施 之 前 ,为 了 不 浪费 已 有 的 
DES 算法 投资 ,NIST 在 1999 年 发 布 了 一 个 新 版 本 的 DES 标准 (FIPS PUB46-3) ,该 标准 指 
出 DES 仅 能 用 于 遗留 的 系统 ,同时 将 三 重 DES(3DES) 取 代 DES 成 为 新 的 标准 。3DES 明 
显存 在 几 个 优点 。 首 先 它 的 密 钥 长 度 是 168 位 ,足以 抵抗 穷 举 攻击 。 其 次 ,3DES 的 底层 加 
密 算法 与 DES 的 加 密 算法 相同 ,该 加 密 算法 比 任何 其 他 加 密 算法 受到 分 析 的 时 间 要 长 得 
多 ,也 没有 发 现 有 比 穷 举 攻击 更 有 效 的 密码 分 析 攻 击 方法 。 

最 简单 的 多 重 DES 加 密 是 用 DES 加 密 两 次 ,每 次 用 不 同 的 密 钥 ,这 就 是 双重 DES。 但 
双重 DES 不 安全 ,没有 被 人 们 使 用 。 图 3. 16 是 双重 DES 的 加 密 和 解密 。 对 于 一 个 明文 M 
和 两 个 加 密 密 钥 KK 和 K; ,加 密 过 程 为 C 王 Er, [LEx, LM]] ,解密 过 程 为 M= Du [Dx, [C]] 。 
密 钥 总 长 度 为 112 位 ,似乎 密码 强度 增加 了 一 倍 ,但 由 于 双重 DES 存在 中 间 相 遇 攻 击 ,使 它 
的 强度 跟 一 个 56 位 DES 强度 差不多 。 

从 图 3. 16 中 可 以 观察 到 C= Ex, LEk LMJj, 则 X=Exr, LMJ] 王 Dr [LC]。 若 已 知 IM,C)， 
攻击 方法 如 下 : 先 用 2 个 可 能 的 Ki 加 密 M, 得 到 2”* 个 可 能 的 值 ,将 这 些 值 从 小 到 大 存 人 
一 个 表 中 ; 再 对 2”* 个 可 能 的 K, 解密 C, 每 次 做 完 解密 ,将 所 得 的 值 与 表 中 的 值 比 较 , 如 果 
产生 匹配 , 则 它们 对 应 的 密 钥 可 能 是 K! 和 Ks 。 用 一 个 新 的 明文 密 文 对 检测 所 得 两 个 密 
钥 , 如 果 两 密 钥 产生 正确 的 密 文 , 则 它们 是 正确 的 密 钥 。 

为 防止 中 间 相 遇 攻 击 , 可 以 采用 3 次 加 密 方式 ,如 图 3. 17 所 示 。 这 是 使 用 两 个 密 钥 的 
三 重 DES ,采用 加 密 -解密 -加 密 (E-D-E) 方 案 。 加 密 为 C= Exk LDx, LExr, [M]]], 解 密 为 
M=Du LEk, LDx, [C]]]。 要 注意 的 是 ,加 密 与 解密 在 安全 性 上 来 说 是 等 价 的 。 这 种 加 密 方 
案 的 攻击 代价 是 2 。 


Kl kK; Kl 大 > Kl 
| 
PR uw) De) 
加 密 加 密 
Ky Kl Ki Ky Kl 
| | 
C D : MM Cc—=( DD Ee( BE t(D 六 = 六 
解密 解密 
图 3.16 双重 DES 图 3.17 三 重 DES 


目前 还 没有 针对 两 个 密 钥 的 三 重 DES 的 实际 攻击 方法 ,但 是 感觉 它 不 太 可 靠 , 如 果 采 
用 三 个 密 钥 的 三 重 DES 则 比较 让 人 放心 。 三 个 密 钥 的 三 重 DES 的 密 钥 长 度 是 168 位 , 采 
用 加 密 - 解 密 -加 密 (E-D-E) 方 案 。 其 加 密 过 程 为 C 二 Er, LDx,LEx, LM]]], 解 密 过 程 为 M 二 
Dk, LExk, LDx, LCJJ]]。 目 前 这 种 加 密 方 式 已 经 被 一 些 网 络 应 用 采用 ,如 本 书后 面 章节 要 讨 
论 的 PGP 和 S/MIME 就 采用 了 这 种 方案 。 
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3.6 高 级 加 密 标准 


由 于 DES 存在 安全 问题 ,而 三 重 DES 算法 运行 速度 比较 慢 , 三 重 DES 迭代 的 轮 数 是 
DES 的 3 倍 , 因 此 速度 比 DES 慢 很 多 。 三 重 DES 的 分 组 长 度 为 64 位 ,就 效率 和 安全 性 而 
言 ,分 组 长 度 应 该 更 长 。 这 就 注定 三 重 DES 不 能 成 为 长 期 使 用 的 加 密 标准 。 为 此 ,美国 国 
家 标准 技术 研究 所 (NIST) 在 1997 年 公开 征集 新 的 高 级 加 密 标准 (Advanced Encryption 
Standards,AES) ,要 求 AES 比 3DES 快 而 且 至 少 和 3DES 一 样 安全 ,并 特别 提出 高 级 加 密 
标准 的 分 组 长 度 为 128 位 的 对 称 分 组 密码 , 密 钥 长 度 支 持 128 位 、192 位 和 256 位 。 

1997 年 9 月 给 出 的 选择 高 级 加 密 标 准 的 评估 准则 如 下 。 

(1) 安全 性 : 由 于 AES 最 短 的 密 钥 长 度 是 128 位 ,所 以 使 用 目前 的 技术 , 穷 举 攻击 是 没 
有 任何 可 能 的 。 因 此 AES 应 重点 考虑 是 否 能 抵抗 各 种 密码 分 析 方 法 的 攻击 。 

(2) 代价 : 指 计算 效率 方面 。NIST 期 望 AES 能 够 广泛 应 用 于 各 种 实际 应 用 ,因此 要 
求 AES 必须 具有 很 高 的 计算 效率 。 

(3) 算法 和 执行 特征 : 指 算法 的 灵活 性 \ 简 洁 性 以 及 硬件 与 软件 平台 的 适应 性 等 方面 。 
1998 年 6 月 NIST 共 收 到 21 个 提交 的 算法 ,在 同年 的 8 月 首先 选 出 15 个 候选 算法 。1999 
年 NIST 从 15 个 AES 候选 算法 中 遵 选 出 5 个 候选 算法 ,它们 是 : MARS( 由 IBM 公司 研究 
部 门 的 一 个 庞大 团队 发 布 ,对 它 的 评价 是 算法 复杂 、 速 度 快 、 安 全 性 高 )、RC6( 由 RSA 实验 
室 发 布 ,对 它 的 评价 是 极 简 单 、 速 度 极 快 、 安 全 性 低 )、Rijndael( 由 Joan Daemen 和 Vincent 
Rijmen 两 位 比利时 密码 专家 发 布 ,对 它 的 评价 是 算法 简洁 速度 快 ,安全 性 好 )、Serpent( 由 
Ross Anderson、Eli Biham 和 Lars Knudsen 发 布 ,对 它 的 评价 是 算法 简洁 、 速 度 慢 、 安 全 性 
极 高 ) 和 Twofish( 由 Counterpane 公司 的 一 个 庞大 的 团队 发 布 ,对 它 的 评价 是 算法 复杂 、 速 
度 极 快 、 安 全 性 高 )。 从 全 方位 考虑 ,Rijndael( 读 成 Rain Doll) 汇 聚 了 安全 、 性 能 ,效率 \ 易 用 
和 灵活 等 优点 ,使 它 成 为 了 AES 最 合适 的 选择 。 在 2000 年 10 月 Rijndael 算法 被 选 为 高 级 
加 密 标 准 , 并 于 2001 年 11 月 发 布 为 联邦 信息 处 理 标准 (Federal Information Processing 
Standard,FIPS) ,用 于 美国 政府 组 织 保护 敏感 信息 的 一 种 特殊 的 加 密 算法 , 即 FIPS PUB 
197 标准 。 


3.6.1 AES 的 基本 运算 


第 2 章 已 经 介绍 了 AES 的 主要 数学 基础 ,为 了 更 好 地 理解 AES 的 加 密 过 程 ,这 部 分 将 
介绍 与 AES 相关 的 一 些 规定 以 及 运算 方法 。AES 算法 中 有 些 是 以 字 节 为 单位 进行 运算 
的 ,也 有 的 是 以 4 个 字 节 ( 即 一 个 字 ) 为 单位 的 。 它 将 一 个 字 节 看 做 是 在 有 限 域 GF(2*) 上 的 
一 个 元 素 ,将 一 个 字 看 成 是 系数 取 自 GF(2*) ,并 且 次 数 小 于 4 的 多 项 式 。 

1. AES 中 的 字 节 运算 

在 AES 中 ,一 个 字 节 是 用 有 限 域 GF(2*) 上 的 元 素 表示 。 有 限 域 上 的 元 素 有 多 种 表示 
方法 ,AES 主要 采用 多 项 式 表示 。 

有 限 域 GF(2*) 上 的 加 法 定义 为 二 进 制 多 项 式 的 加 法 ,其 系数 是 模 2 相 加 。 此 处 加 法 是 
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异 或 运算 ( 记 为 田 ) ,1 四 1=0,1 由 0=1,0 由 0=0。 因 此 ,多 项 式 减 法 与 多 项 式 加 法 的 规则 相 
同 。 对 于 两 个 字 节 {araseasasasazarao) 和 {brbebsbababsbibo), 其 和 为 {crcecscscscacico) ,ci 一 


ai Db (BN er =ar Db ,cs 三 4 由 ,co 一 ao 中 bo) 。 
例如 ,下 述 表 达 式 彼此 相等 。 
(zw 十 zt 十 十 十 1) 十 (zw 十 z 十 1)==2 十 x 十 Zt 十 用 (多 项 式 记 法 ) 
{01010111}@®{10000011}={11010100} (二 进 制 记 法 ) 
{57}@®1{83}={d4} (十 六 进 制 记 法 ) 


在 有 限 域 GF(2*) 上 的 乘法 ( 记 为 ， ) 定 义 为 多 项 式 的 乘积 模 一 个 次 数 为 8 的 不 可 约 多 
项 式 : 
m(z)= 二 ZX 十 x 十 如 十 zx 十 1 
用 十 六 进 制 表示 该 me {01}{1B}。 


例如 ,{57)。{83) 二 {cl1), 因 为 : 
(zs 十 ZX 十 如 十 ZT 十 D(z 十 x 十 1) 
二 rs 十 za "As 9 二 xs 二 x? 十 x? 区 要 rs 十 2 二 xzx? + A + rs + zt + Ed - I | 1 
二 zs 十 zi 十 十 十 十 z 十 x 十 x? 十 1 


而 (x 十 x 十 加 赴 加 十 十 十 十 宫 十 1》 m0d (有 十 zt 二 十 二 1) 二 zx 十 zx' 和 十 1 
模 m(z) 确 保 了 所 得 结果 是 次 数 小 于 8 的 二 进 制 多 项 式 , 因 此 可 以 用 一 个 字 节 表示 。 
如 果 aCz)。p6Cz) mod m(z) 二 1, 则 称 5(z) 为 a(z) 的 道 元 。 
在 AES 中 的 倍 乘 函数 xtime() 是 用 多 项 式 x 乘 一 个 二 进 制 多 项 式 后 青 模 m(x)。 
用 多 项 式 工 乘 以 2(z) 将 得 到 : 
px 十 bz 十 bz8 二 hr +brt+br hr 十 Do 
将 上 述 结果 模 m(z) 即 可 得 到 x 。6b(x) 的 结果 。 如 果 b= 二 0, 则 该 结果 已 经 是 模 运算 后 
的 形式 。 如 果 b; 二 1, 则 模 运 算 需 要 异 或 多 项 式 m(z) 完 成 。 由 此 , 乘 x( 即 {00000010} 或 十 
六 进 制 {102)) 可 通过 字 节 内 左 移 一 位 , 紧 接 着 的 一 个 与 {1B} 按 位 异 或 来 实现 。 将 该 操作 记 
为 0 一 ztime(e) 。 通 过 将 中 间 结 果 相 加 ,可 以 用 ztime() 实 现任 意 常 数 的 乘法 。 
例如 ,{57}。{13} 一 {fe} 因为 : 
{57}。({02} 一 ztime({57)) 一 {ae} 
{57} 。{04} 二 xtime({ae})={47} 
{57} 。 {08} 二 xtime({47})={8e} 
{57} 。 {10}= 二 ztime({8e})={07} 


因此 : 
{57} 。 {13}={57} »。 ({01}@®{02}@®{10}) 
={57}@{ae}@®1{07} 
= {fe} 
2. AES 中 的 字 运 算 
AES 中 的 32 位 字 表 示 为 系数 在 有 限 域 GF(2 ) 上 的 次 数 小 于 4 的 多 项 式 。 考 虑 含有 4 
个 项 且 系 数 为 有 限 域 元 素 的 多 项 式 , 即 : 


a(z) = asz’: 十 azz2z 十 ai 十 ao 
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它 可 以 表示 为 如 下 形式 [ao ,ai ,az as] 的 字 (Word)。 注 意 这 里 的 多 项 式 与 前 面 有 限 域 
元 素 定义 中 使 用 的 多 项 式 操作 不 同 , 即 使 这 两 类 多 项 式 均 使 用 相同 的 变量 +。 这 里 的 系数 
本 身 就 是 有 限 域 元 素 , 即 字 节 (Bytes) 而 不 是 位 (Bits)。 另 外 ,该 4 项 多 项 式 的 乘法 使 用 了 一 
个 不 同 于 前 面 的 模 多 项 式 , 将 在 下 面 定义 。 

为 说 明 加 法 和 乘法 运算 , 令 

6(z) = bax’ box’ 十 biz 二 bo 

为 男 一 个 4 项 多 项 式 。 加 法 是 对 xz 相应 次 数 项 的 有 限 域 系 数 进行 相 加 运算 。 该 加 法 对 应 于 
相应 字 节 间 的 异 或 运算 。 

因此 : 

a(z)+ bz) = (as BB)T ta BO)T ta Bh)rt+ (a DB) 
乘法 要 用 两 步 完 成 。 第 1 步 , 对 多 项 式 相 乘 的 结果 c(x) 二 a(x)。b(z) 进 行 代 数 扩展 ; 


c(CZ) = cx ctor toartter titer taoazrto 
C2 ox 十 G625 十 cz 十 caz3 cr 1 十 co 


其 中 : 
co=ao*bo c 一 0 四 wp 由 av 和 
c 一 ab 四 oo cs = as* bs Bas * bs 
c=as bo BahDBa eb ce = as* bs 


G3=a*b Da hOBDarebDa bs 
所 得 结果 c(zx) 并 没有 表示 为 一 个 4 字 节 的 字 。 因 此 ,乘法 的 第 2 步 是 模 一 个 4 次 多 项 
式 来 化 简 c(z) ,使 得 结果 化 简 为 一 个 次 数 小 于 4 的 多 项 式 。 在 AES 算法 中 ,这 一 模 多 项 式 
取 为 zx! 十 1, 由 于 : 
zi mod (zr‘+1) = zi 
则 a(z) 和 6b(z) 取 模 的 乘积 记 为 a(x)@b(zx) ,表示 为 下 述 的 4 项 多 项 式 d(x), 即 : 
d(x) 一 d 必 zs 十 dz 十 dz 十 do 
其 中 : 
do = ao* bo Bas hh Da b Da. bs 
di =a*bo Bah Da ba .bs 
ds = as* bo Da hh Da bs Das bs 
di 一 ap 由 av 四 av 六 由 av 
当 a(z) 是 一 个 固定 多 项 式 时 ,等 式 中 定义 的 运算 可 以 写成 矩阵 形式 ,如 : 


do ao as as allbo 

di a ao as az|10 

cd as a ao as||b; 

ds as az a aoj (bs 
由 于 x 十 1 不 是 GF(2*) 上 的 不 可 约 多 项 式 , 因 此 被 一 个 固定 的 4 次 多 项 式 相 乘 的 乘法 
不 一 定 可 道 。 然 而 ,在 AES 算法 中 选择 了 一 个 固定 的 有 逆 元 的 4 项 多 项 式 的 乘法 , 它 按照 


乘法 运算 有 逆 元 。 
a(z) = {03}z 十 {01}z? 十 {01}z 十 {02} 
al(z) = {0b}z’ + {0d}z’ 二 {09}z+ {0e} 
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在 AES 算 法 的 密 钥 扩展 部 分 中 还 要 用 到 的 另 一 个 多 项 式 (RotWord() 函 数 ) 为 wo 一 必 一 
qz 二 {00),as 二 (01), 即 多 项 式 x*。 该 多 项 式 的 效果 是 将 输入 字 中 的 字 节 循环 移 位 来 得 到 
输出 字 , 即 [6 ,6 ,5 ,bs] 将 变换 为 [6 ,0 ,bs ,bo ]。 


3.6.2 AES 加密 


在 Rijndael 算法 中 ,分 组 长 度 和 密 钥 长 度 可 以 分 别 是 128 位 、192 位 和 256 位 。 而 在 
AES 中 ,分 组 长 度 只 能 是 128 位 。AES 算法 中 基本 的 运算 单位 是 字 节 , 即 视 为 一 个 整体 的 
8 比特 序列 。 如 果 分 组 长 度 和 密 钥 长 度 为 128 位 ,假如 字 节 数组 将 表示 为 如 下 形式 。 

其 字 节 排列 方式 将 如 图 3. 18 所 示 。 

如 果 密 钥 长 度 (或 在 Rijndael 中 的 明文 分 组 ) 为 192 位 .256 位 ,组 成 的 两 个 矩阵 如 图 3. 
19 和 图 3. 20 所 示 。 它 们 的 特点 是 行 数 都 是 4, 列 数 不 同 。 


m | a | as | as | a as ao | a | as [as | a | aoo | as, | as 
a | as | as | as | a Jan a | a | 0, | avs aw [a [a [ow 
az | as |ar | a | a | oa as | as | ar | a | a | ass | ass | aso 
as | ar |an |as | as | azs ds | ar |an |as | Ge | G23 | G27 | G31 

图 3.19 192 位 (24 个 字 节 ) 的 矩阵 排列 图 3.20 256 位 (32 个 字 节 ) 的 矩阵 排列 


这 些 矩 阵 有 4 行 ,分 组 的 列 数 记 为 Nb, Nb 二 分 组 长 度 (位 ) 二 32( 位 )。 显 然 NA 可 以 取 
的 值 为 4.6 和 8 ,分 别 对 应 的 分 组 长 度 为 128 位 、192 位 和 256 位 。 类 似 地 密 钥 的 列 数 记 为 
NA, NA 一 密 钥 长 度 (位 ) 二 32( 位 ) 。Nk 可 以 取 的 值 为 4.6 和 8, 对 应 的 密 钥 长 度 分 别 为 128 
位 、192 位 和 256 位 。 

密码 运算 的 中 间 结 果 都 是 以 上 面 的 形式 表示 , 称 之 为 状态 (State) 数 组 。AES 将 这 些 中 
间 结 果 复 制 到 状态 (State) 数 组 中 。 算 法 的 运行 过 程 是 将 需要 加 密 的 分 组 从 一 个 状态 转换 
为 另 一 个 状态 ,最 后 该 数组 被 复制 到 输出 矩阵 中 。 如 对 于 128 位 分 组 ,假设 加 密 和 解密 的 初 
始 阶段 将 输入 字 节 数组 in ,in ,…,ims 复 制 到 如 图 3. 21 所 示 的 状态 (State) 和 矩阵 中 。 加 密 
或 解密 的 运算 都 在 该 状态 矩阵 上 进行 ,最 后 的 结果 将 被 复制 到 输出 字 节 数组 out ， 


Outi,*"* ,Outis。 


输入 字 节 状态 矩阵 输出 字 节 
ino | ins | ins | in'> Soo | so | $02 | so3 outo | outs | outs |outi; 
in | ins | ing | in S10 | si1 | S12 | s13 out | outs | outejouta 
ins | in | inio | in $20 | S21 | 522 | 523 oub | oute Joutio|out1a| 
in | iny | inn | inis 530 | 531 | 532 | 533 out | outz loutii|outis 


图 3.21 状态 矩阵 .输入 和 输出 
状态 矩阵 中 每 一 列 的 4 个 字 节 可 以 看 做 一 个 32 比特 字 , 用 行 号 -作为 每 一 个 字 中 4 个 字 
节 的 索引 。 因 此 状态 可 以 看 做 32 比特 字 ( 列 ) ,ww…wes 的 一 维 数组 ,用 列 号 c 表示 该 数组 的 索 
引 。 在 图 3. 21 中 ,该 状态 可 以 看 做 4 个 字 组 成 的 数组 ,如 下 所 示 : 
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Wo 一 So,031,032.033,0 


TO1 一 3$0,131,132,133,1 


Wz 一 $0,251,252,253,2 


Ts $0,351,352,353,3 


在 加 密 和 解密 的 初始 阶段 ,输入 数组 in 按照 下 述 规则 复制 到 状态 矩阵 中 。 
sLr,c]=in[r+4c] 0<r<4 且 0 委 c 一 NO 
在 加 密 和 解密 的 结束 阶段 ,状态 矩阵 将 按照 下 述 规则 被 复制 到 输出 数组 out 中 。 
out[r 十 4c]=s[r,c] 0<r<4 且 0 委 c<N 
AES 密码 是 一 种 迭代 式 密码 结构 ,但 不 是 Feistel 密码 结构 。Rijndael 算法 迭代 的 轮 数 
与 分 组 长 度 和 密 钥 长 度 相 关 。 对 于 AES 算 法 ,算法 的 轮 数 依赖 于 密 钥 长 度 。 将 轮 数 表示 为 
Nr, 当 Nk 二 4 时 Nr==10; 当 NAR 王 6 时 Nr==12; 当 NA 一 8 时 Nr 王 14。 表 3.5 是 Rijndael 
算法 不 同 分 组 长 度 和 密 钥 长 度 对 应 的 迭代 轮 数 列 。 
表 3.5 Rijndael 算法 迭代 轮 数 


分 组 长 度 为 128 位 分 组 长 度 为 192 位 分 组 长 度 为 256 位 
密 钥 长 度 为 128 位 10 轮 12 轮 14 轮 
密 钥 长 度 为 192 位 12 轮 12 轮 14 轮 
密 钥 长 度 为 256 位 14 轮 14 轮 14 轮 

当 分 组 长 度 和 密 钥 长 度 均 为 128 位 时 ,AES 明文 

共 闪 代 10 轮 ,需要 11 个 子 密 钥 。 其 加 密 过 程 如 | 

图 3. 22 所 示 。 前 面 9 轮 完全 相同 ,每 轮 包括 4 阶 全 

段 ,分 别 是 字 节 代 换 (Byte Substitution), 行 移 位 广 [ 字 节 代 换 

(Shift Rows) ,. 列 混淆 (Mix Columns) 和 轮 密 钥 加 EE 

(Add Round Key), 最 后 一 轮 只 有 三 个 阶段 ,缺少 ”和 所 /一 

列 混淆 。 列 混淆 

在 加 密 时 ,将 输入 复制 到 状态 矩阵 中 。 经 过 [ 轮 密 钥 加 子 密 钥 w[4,7] 

初始 轮子 密 钥 加 后 ,通过 执行 10 轮 来 变换 状态 矩 i 

阵 ,最 后 状态 将 被 复制 到 输出 。 图 3. 23 是 AES 加 i 

密 算法 的 伪 代 码 表示 ,每 一 个 变换 如 SubBytes() 、 「 | 字 节 代 换 

ShiftRows()、 MixColumns() 和 AddRoundKey() 四 

都 作用 在 状态 (State) 上 ,数组 w[] 中 包含 了 密 钥 ”第 9 轮 f 

编排 得 到 的 密 钥 ,这 些 将 后 面部 分 说 明 。 除 了 最 型 

后 一 轮 ,所 有 的 轮 变换 均 相同 。 最 后 一 轮 不 包括 轮 密 钥 加 子 密 钥 w[36.39] 

MixColumns() 变 换 。 -| < 

字 节 代 换 
下 面 是 AES 中 出 现 的 一 些 参 数 、 符 号 和 i 
函数 。 第 10 轮 4 | 行 移 位 
AddRoundKey() 是 加 密 和 解密 中 使 用 的 变 i 子 密 钥 w[40,43] 
换 , 它 将 一 个 轮 密 钥 异 或 到 状态 上 。 轮 密 钥 的 长 度 


度 等 于 状态 的 大 小 ( 即 对 于 Nb 二 4, 轮 密 钥 长 度 等 
于 128 比特 /16 字 节 ) 。 


InvMixColumns() 


图 3.22 AES 加 密 过 程 
解密 中 使 用 的 变换 ,是 MixColumns() 的 逆 变换 。 
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InvShiftRows() 解密 中 使 用 的 变换 ,是 ShiftRows() 的 道 变换 。 

InvSubBytes() 解密 中 使 用 的 变换 ,是 SubBytes() 的 道 变换 。 

K 密码 所 使 用 的 秘密 密 钥 。 

MixColumns() 加 密 中 使 用 的 变换 ,以 状态 的 每 一 列 作为 输入 ,混合 每 一 列 的 数据 
(彼此 独立 的 ) 得 到 新 的 列 。 


Nb 状态 包含 的 列 (32 比特 字 ) 的 个 数 。 对 于 AES, Nb 二 4。 

Nk 密 钥 包含 的 32 比特 字 的 个 数 。 对 于 该 标准 ,Nk 二 4,6 或 8。 

Nr 轮 数 ,是 Nk 和 Nb (固定 的 ) 的 函数 。 对 于 该 标准 ,Nr 二 10,12 或 
14( 参 见 第 6. 3 节 )。 

Reon[] 密 钥 扩展 算法 中 用 到 的 轮 常数 。 

RotWord() 密 钥 扩展 算法 中 使 用 的 函数 ,对 4 字 节 字 进 行 循环 移 位 。 

ShiftRows() 加 密 中 使 用 的 变换 ,将 状态 的 最 后 3 行 循环 移动 不 同 的 位 移 量 。 

SubBytes() 加 密 中 使 用 的 变换 ,利用 一 个 非 线 性 字 节 替代 表 (S 盒 ) ,独立 地 对 
状态 的 每 个 字 节 进行 操作 。 

SubWord() 密 钥 扩展 算法 中 使 用 的 函数 , 它 以 4 字 节 字 作为 输入 ,对 于 4 字 节 
中 的 每 一 字 节 分 别 应 用 S 盒 ,得 到 一 个 输出 字 。 

XOR 异 或 运算 。 

© 异 或 运算 。 

© 两 个 多 项 式 ( 每 一 个 的 度 (Degree) 均 小 于 4) 相 乘 再 模 x 十 1。 

。 有 限 域 上 的 乘法 。 


CipherCbyte in[4 x Nb] ,byte out[4 x Nb], word wLNb x* (Nr+1)]) 
begin 

byte state[ 4,Nb] 

state 一 in 

AddRoundKey(state, w[0, Nb—1]) 


for round= 1 step 1 to Nr 一 1 
SubBytes(state) 
ShiftRows( state) 
MixColumns(state) 
AddRoundKey( state,w[round * Nb,(round 十 1) * Nb—1]) 


end for 
SubBytes(state) 
ShiftRows( state) 
AddRoundKey(state, w[ Nr * Nb,(Nr+1) * Nb—1]) 
out= state 
end 


3.23 ”AES 加 密 算法 伪 代 码 


3.6.3 字 节 代 换 


字 节 代 换 (SubBytes()) 是 非 线性 的 , 它 独 立地 将 状态 中 的 每 个 字 节 利用 代 换 表 (S 盒 ) 
进行 运算 。S 盒 被 设计 成 能 够 抵挡 所 有 已 知 的 攻击 。 该 S 盒 ( 见 图 3. 24) 是 由 16X16 个 字 
节 组 成 的 矩阵 ,包含 了 8 位 值 所 能 表达 的 256 种 可 能 的 变换 。State 中 的 每 个 字 节 按 照 如 下 
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的 方式 映射 为 一 个 新 的 字 节 : 将 该 字 节 的 高 4 位 作为 行 值 , 低 4 位 作为 列 值 ,然后 取出 S 盒 
中 对 应 行列 交叉 处 的 元 素 作为 输出 。 例 如 ,十 六 进 制 {95} 对 应 的 S 盒 的 行 值 是 9, 列 值 是 5， 
S 盒 中 此 处 的 值 是 {2A} 。 因 此 {95} 被 映射 为 {2A} 。 


二 


学 


8 


C5 


30 


FO 


AD 


CC 


34 


9A 


07 


A0 


52 


5B 


6A 


85 


45 


F5 


BC 


17 


C4 


88 


46 


5C 


C2 


A9 


6C 


C6 


E8 


口 | 口 | 机 | | 昌 |o| am | we 一 = 
a 


0E 


61 


E | 也 


94 


9B 


E6 


42 


68 


41 


S 盒 按照 如 下 的 方式 构造 。 


图 3.24 S 会 


(1) 逐 行 按照 上 升 排列 的 方式 初始 化 S 盒 。 第 一 行 是 {00),{01},…,{0F); 第 二 行 是 
{10),{11}),…,{1F} 等 。 因 此 在 zx 行 y 列 的 字 节 值 是 {xy)。 
(2) 把 S 盒 中 的 每 个 字 节 映 射 为 它 在 有 限 域 GF(2*) 上 的 乘法 逆 ; 其 中 ,元 素 {00} 映 射 


到 它 自身 {00}。 


(3) 把 S 盒 中 的 每 个 字 节 表示 为 (61 ,66 ,6 ,0 03 加 ,0 加 )8 位 ,对 S 盒 中 的 每 个 字 节 

中 的 每 个 位 做 如 下 变换 : 
0’= b; © boity mas ©D boits) mas 四 bonus D bern mes Di 

其 中 ,对 于 0 过 i 二 8,6; 是 字 节 的 第 i 位 ,ci 是 值 为 {63) 或 {01100011}) 的 字 节 < 的 第 i 位。 在 

此 处 和 其 他 地 方 ,在 变量 的 右上 和 角 作 标记 (如 多) 表示 该 变量 将 用 右 侧 的 值 更 新 。AES 按照 

如 下 的 方式 用 和 矩阵 描述 S 盒 的 变换 。 


/ 


rb, 
0 
0 
0 
外 
bs 
bs 


LO 


| 


Se 


Oo ~ ~ ~ oo 


oOo” ~ ~~~oODo 


一 Oopo 


POoorpr 


POoOoc-- 


一 口 口 避 一 一 一 


F601] 
bi 
be 
bs 
bs 
bs 
bs 


Lb 
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还 是 用 {95} 作 为 输入 ,可 以 计算 出 195} 在 GF(2 ) 上 的 逆 为 18A}) ,用 二 进 制 表示 为 


10001010, 代 入 上 述 变换 有 
丽人 
下 站 看 < 到 1 0 1 1 
| 0 0 0 0 
于 of 11 ol 11 
1111100 6009 © 
CU i I eR i) | 0 T 1 
本 下 1 0 
二 语 旋 
结果 为 00101010 ,用 十 六 进 制 表示 为 {2A} ,与 前 面 查 表 所 得 结果 一 样 。 


3.6.4 行 移 位 


行 移 位 (ShiftRows()) 是 一 个 简单 的 置换 ,在 行 移 位 变换 中 ,对 State 的 各 行进 行 循环 
左 移 位 ,State 的 第 一 行 保持 不 变 , 第 二 行 循环 左 移 一 个 字 节 ,第 三 行 循环 左 移 两 个 字 节 ,第 
四 行 循环 左 移 三 个 字 节 ,如 图 3. 25 所 示 。 


循环 左 移 1 个 字 节 有 国 四 加 
循环 左 移 2 个 字 节 | 5， = 


循环 左 移 3 个 字 节 


3.25 对 State 的 各 行 移 位 


对 Rijndael 而 言 , 分 组 长 度 是 128 位 、196 位 或 256 位 。 移 位 的 字 节 数 与 分 组 的 大 小 有 
关系 。 后 三 行 的 左 移 量 CC* .Cs 与 分 组 长 度 NO( 和 矩阵 的 列 数 ) 的 关系 如 表 3. 6 所 示 。 


表 3.6 移 位 值 
Nb [ol CGC Cs 
4 划 2 3 
6 1 2 3 
8 1 3 4 


3.6.5 列 混淆 


列 混淆 (MixColumns()) 变 换 在 State 上 按照 每 一 列 ( 即 对 一 个 字 ) 进 行 运算 ,并 将 每 一 
列 看 作 4 次 多 项 式 ,即将 State 的 列 看 作 GF(2*) 上 的 多 项 式 且 被 一 个 固定 的 多 项 式 ec(z) 模 
x 十 1 尖 ,a(z) 为 : 
a(z) = {03}z’ 十 {01}z?: 十 {01}z 二 {102} 
这 可 以 写成 矩阵 乘法 。 令 s(x) 二 a(z)@s(z): 
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s 


i 02 03 01 01] [so 
She 01 02 03 01||s,. 
| 一 |o or oz os|j。| °°<W 
She 03 01 01 021 Ls,.. 
经 过 该 乘法 计算 后 ,一 列 中 的 4 个 字 节 将 由 下 述 结果 取代 : 
sc = ({02} » $0..) DB ({03} » 51..) 四 四 sa 
se= so D {02} » $4) DB (03}) + s2.6) D sso. 
3 = $0 Bs OB (02} $2.) DB (03} » 53..) 
sc = ({03} 。 $0..) Bs Bs DB (02} , 53..) 
图 3. 26 为 列 混淆 变换 示意 图 。 


MixColumns() 


Soc SOc 


/ 
33.0 532 | 533 $30 


3.26 列 混淆 变换 示意 图 


例 3.9 假设 State 和 矩阵 的 第 一 列 分 别 是 s0.o 三 {87), so 二 {6E}),s2,0 


{A6}。 经 过 列 混淆 变换 后 ,so 一 {87} 映 射 为 一 {47}, 试 计算 验证 这 一 结果 。 
第 1 列 第 1 个 字 节 的 代 换 方程 为 : 
({02}) 。(87)) ® ({03} . {6E}) ® {46} ® {A6} = {47} 
下 面 验证 上 面 等 式 成 立 。 用 多 项 式 表示 为 : 
{02} 一 工 
{87} 二 x? 十 十 zx 十 1 
那么 : 
ZX， (TTz 二 zx 十 1)==x 十 xz? 十 x 十 xz 
再 模 一 个 次 数 为 8 的 不 可 约 多 项 式 : 
m(z) 二 如 十 zt 十 十 x 十 1 
(二 ww 丰 必 十 ) m0d X22， 十 下 生生 二 1}》 二 wt 二 生 1 
写成 二 进 制 形式 为 00010101。 


同样 可 以 计算 出 {03}。 {6E) 二 10110010,{46) 二 01000110,{A6) 二 10100110。 


({02)。{87)) 四 ({03)。{6E)) 四 (46} 四 {A6} 计 算 结果 为 : 
0001 0101 
1011 0010 
0100 0110 
四 1010 0110 


0100 0111 ={47} 


{46}, s3,0 


因此 
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3.6.6 轮 密 钥 加 


在 轮 密 钥 加 (AddRoundKey()) 变 换 中 ,128 位 的 State 按 位 与 128 位 子 密 钥 异 或 。 可 
以 将 这 种 操作 看 成 是 State 一 列 中 的 4 个 字 节 与 轮 密 钥 的 一 个 字 进 行 异 或 ; 也 可 以 看 成 是 
两 者 之 间 的 字 节 异 或 。 


3.6.7 AES 的 密 钥 扩展 


如 果 分 组 长 度 和 密 钥 长 度 都 是 128 位 ,AES 的 加 密 算法 共 迭 代 10 轮 ,需要 11 个 子 密 
钥 。AES 的 密 钥 扩 展 的 目的 是 将 输入 的 128 位 密 钥 扩展 成 11 个 128 位 的 子 密 钥 。AES 的 
密 钥 扩展 算法 是 以 字 为 一 个 基本 单位 ,而 不 是 以 位 为 操作 对 象 。 一 个 字 等 于 4 个 字 节 , 共 
32 位 ,刚好 是 密 钥 矩阵 的 一 列 。 因 此 4 个 字 (128 位 ) 密 钥 需要 扩展 成 11 个 子 密 钥 , 共 44 个 
字 。 若 Nr 表示 加 密 算法 轮 数 ,那么 密 钥 扩展 总 共生 成 NACNr 十 1) 个 字 , 并 需要 一 个 Nb 个 
字 组 成 的 初始 集合 ( 即 原 始 密 钥 ) ,为 每 一 轮 产生 Nb 个 字 的 子 密 钥 。 扩 展 后 的 密 钥 编 排 结 
果 由 一 个 4 字 节 字 的 线性 数组 组 成 , 记 为 [wj], 其 中 0<i<Nb(CNr 二 1)。 图 3.27 是 AES 的 
密 钥 扩展 算法 的 伪 码 表示 。 


KeyExpansion(byte key[4 * Nk],work w[Nbx (Nr+1)],Nk) 
begin 
word temp 
i=0 
while(i<Nk) 
w[i]= word(key[4 * ,key[4 *i+1],key[4 *i+2],key[4 x* i+3]) 
i=i+1 
end while 
i=Nk 


while(i<Nb x (Nr+1)) 
temp= w[i—1] 
if(i mod Nk=0) 
temp= SubWord( RotWord( temp) ) xor Reon[i/Nk] 
else i{(Nk>6 and i mod Nk=4) 
temp= SubWord( temp) 
end if 
w[i]=w[i—Nk]xor temp 
i=i+1 
end while 


end 


3.27 AES 密 钥 扩展 伪 代 码 


SubWord() 函 数 将 接受 一 个 4 字 节 输入 字 , 对 每 一 个 字 节 应 用 S 盒 得 到 输出 字 。 函 数 
RotWord() 接 受 字 [ao ,ai ,as ,asj] 作 为 输入 ,执行 循环 移 位 后 返回 字 [ai ,az ,as ,ao]。 轮 常数 
字数 组 Reon[ 门 ,包含 了 由 [x !,{00),{00),{00)]J 给 定 的 值 (注意 这 里 的 i 从 1 开始 ,而 不 
是 0),z 和 一 是 有 限 域 GF(28) 上 z(z 记 为 102)) 的 指数 寡 。 

如 图 3. 27 所 示 ,第 一 个 子 密 钥 的 NA 个 字 由 密码 的 原始 密 钥 直接 填充 。 接 下 来 的 每 个 
字 w[ 门 ,等 于 其 前 一 个 字 wLi 一 1 与 Nk 个 位 置 之 前 的 字 wLi 一 NA] 的 异 或 。 对 于 NA 的 整 
数 倍 位 置 的 字 , 在 异 或 之 前 ,要 对 wLi 一 1] 进 行 一 次 变换 ,该 变换 先进 行 一 次 字 的 字 节 左 循 
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环 移 位 (RotWord()), 然 后 再 做 一 次 字 节 替代 变换 (SubWord()), 即 对 字 中 的 4 个 字 节 应 用 
查 表 。 再 异 或 一 个 轮 常 数 。 

需要 注意 256 比特 密 钥 (Nk 二 8) 的 密 钥 扩展 程序 与 128 比特 和 192 比特 密 钥 的 扩展 程 
序 稍 有 不 同 。 如 果 Nk 二 8 且 i 一 4 是 NA 的 整数 倍 , 异 或 之 前 对 w[i 一 1] 要 做 一 次 字 节 替代 
(SubWord() ) 变 换 。 

下 面 以 Nk 二 4( 即 密 钥 为 128 位 ) 为 例 , 先 概括 AES 的 密 钥 扩展 过 程 ,随后 将 给 出 密 钥 
扩展 的 例子 。 

密 钥 扩展 过 程 如 下 。 

(1) 将 输入 密 钥 直接 复制 到 扩展 密 钥 数 组 的 前 4 个 字 中 ,得 到 w[0]、w[1]、w[2]、 
[3]。 

(2) 然后 每 次 用 4 个 字 填 充 扩 展 密 钥 数组 w 的 余下 部 分 ,w[ 门 值 依赖 于 w[i 一 1] 和 
w[i 一 4],i 宇 4。 

(3) 当 数 组 w 下 标 不 是 4 的 倍数 时 ,w[ 门 值 为 w[i 一 1] 和 w[i 一 4] 的 异 或 。 

(4) 当 数 组 ww 下 标 为 4 的 倍数 时 ,按照 下 面 方法 计算 : 

Q@ 将 ww- 的 一 个 字 的 4 个 字 节 循环 左 移 一 个 字 节 ,即将 输入 字 [p ,6 ,bs ,bsj 变 为 [41， 
Bybsb 

@ 用 S 盒 对 输入 字 的 每 个 字 节 进行 字 节 代 换 。 

@ 将 ww-4 异 或 步骤 和 步骤 @ 的 结果 ,再 与 轮 常数 Recon[ 门 相 异 或 。 

轮 常数 Rcon[ 门 是 一 个 字 , 这 个 字 的 最 右边 三 个 字 节 总 是 0。 因 此 与 轮 常数 的 一 个 字 异 
或 ,其 结果 是 与 该 字 最 左边 的 那个 字 节 相 异 或 。 每 轮 的 轮 常 数 均 不 同 , 其 定义 为 Rcon[ 门 = 
(RC[ 门 , {00) ,{00),{00)) ,其 中 RC[1]={01} ,RC[ 门 ={02}。(RC[i 一 1]), 用 多 项 式 表示 
为 RC[i]=z* (RC[i 一 1]))=z "7 ,i 送 2。 

字 节 用 十 六 进 制 表 示 , 同 时 理解 为 GF(28) 上 的 元 素 。z 和 :为 GF(28) 中 的 多 项 式 z 的 
i 一 1 次 方 所 对 应 的 字 节 。 考 虑 工 对 应 的 字 节 为 {02}, 轮 常数 也 可 以 写 为 : 

Reon[i] = ((02)"™, {00},{00},{00}) 

前 10 个 轮 常数 RC[ 门 的 值 如 表 3.7 所 示 , 对 应 的 Reon[ 门 如 表 3.8 所 示 。 


表 3.7 RC[i] 


表 3.8 Recon[ 门 


i 1 2 3 4 5 
Reon[ i 01000000 02000000 04000000 08000000 10000000 
i 6 党 8 9 10 
Reon[ i 2000000 40000000 80000000 1B000000 36000000 


例 3.10 AES 的 加 密 密 钥 为 2B 7E 15 16 28 AE D2 A6 AB F7 15 88 09 CF 4F3C， 
NA 一 4, 写 出 扩展 后 前 三 个 子 密 钥 。 

直接 得 到 第 一 个 子 密 钥 的 4 个 字 为 ww[0]=2B7E1516,w[1] 一 28AED2A6,w[2] 一 
ABF71588 ,ze[3] 王 09CF43C。 第 二 个 和 第 三 个 子 密 钥 扩 展 如 表 3. 9 所 示 。 
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表 3.9 密 钥 扩展 例子 


+ w[i 一 1] |RotWord() 后 |SubWord() 后 | Reon[ i/NKk] nn w[Li—Nk] WE 二 wi 
异 或 后 ©® wli— NK] 

4 09CF4F3C | CF4F3C09 | 8A84EB01 01000000 8B84EB01 2B7E1516 AOFAFE17 

5 AOFAFE17 28AED2A6 | 88542CB1 

6 88542CB1 ABF71588 23A33939 

人 23A33939 09CF4F3C | 2A6C7605 

8 2A6C7605 6C76052A 50386BE5 02000000 52386BE5 AOFAFE17 | F2C29512 

9 F2C29512 88542CB1 7A96B943 

10 | 7A96B943 23A33939 5935807A 

11 | 5935807A 2A6C7605 7359F67F 


3.6.8 AES 解密 算法 


AES 解密 算法 是 AES 加 密 算 法 的 逆 变 换 , 其 结构 类 似 于 加 密 算 法 。 解 密 算 法 和 加 密 
算法 轮 结构 的 顺序 不 同 。 但 是 加 密 和 解密 算法 中 的 密 钥 编排 形式 相同 。 在 加 密 过 程 中 ,其 
轮 结构 是 字 节 代 换 、 行 移 位 、 列 混淆 和 轮 密 钥 加 。 在 解密 过 程 中 ,其 轮 结构 是 逆向 行 移 位 . 逆 
名字 节 代 换 轮 密 钥 加 和 逆向 列 混淆 。 图 3. 28 描述 了 解密 算法 的 伪 代 码 。 


InvCipher( byte in[4 * Nb],byte out[4 * Nb],word w[ Nb x (Nr+1)]) 
begin 

byte state[4,Nb] 

state 一 in 

AddRoundKey(state, w[Nr * Nb,(Nr+1) * Nb 一 1]) 


{or round 一 Nr 一 1 step 一 1 downto 1 
InvShiftRows( state) 
InvSubBytes( state) 
AddRoundKey( state, w[round * Nb,(Cround 十 1) * Nb—1]) 
InvMixColumns( state) 
end for 


InvShiftRows( state) 

InvSubBytes( state) 
AddRoundKey(state,w[0,Nb 一 1]) 
out 一 state 


end 


3.28 AES 解密 算法 的 伪 代 码 


1. 逆向 行 移 位 

逆向 行 移 位 (InvShiftRows()) 是 行 移 位 (ShiftRows()) 的 道 变换 。 对 State 的 各 行 按照 
一 定量 进行 循环 移 位 。 当 NO=4 或 者 6 时 ,第 0 行 不 移 位 ; 第 1 行 循环 右 移 1 位 ;: 第 2 行 
循环 右 移 2 位 ; 第 3 行 循环 右 移 3 位 。 

2. 逆向 字 节 代 换 

道 向 字 节 代 换 (InvSubBytes()) 是 字 节 代 换 (SubBytes()) 的 道 变换 ,对 State 的 每 个 字 
节 应 用 闭 S 盒 进 行 代 换 。 逆 字 节 替代 变换 中 使 用 的 逆 S 盒 如 图 3. 29 所 示 。 
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= 


17|2B|04|7E|BA|77|D6|26|El|69|14|63|55|21|0C|7D 
图 3.29 逆 S 盒 


3. 轮 密 钥 加 

轮 密 钥 加 变换 ,其 逆 变 换 就 是 它 本 身 , 因 为 其 中 只 应 用 了 蜡 或 运算 。 

4. 逆向 列 混淆 

逆向 列 混淆 (InvMixColumns()) 是 列 混淆 (MixColumns()) 的 逆 变 换 。 首 向 列 混淆 在 
State 上 对 每 一 列 进行 运算 ,将 State 的 列 看 做 GF(2) 上 的 多 项 式 且 被 一 个 固定 的 多 项 式 
a 1(z) 模 zx 十 1 乘 ,a !'(z) 为 : 

a (xz) = {06}z’ 二 + {0d}zx? 十 {09}z 十 {0e} 
可 以 写成 矩阵 乘法 。 令 (CCz) = 一 aiCz)GQsCz): 


soe 0e 0b 0d 09] fso.。 
Se 09 0e 0b 0d| se 
l= oa -00 “de. 0B| ls, So 
Se 00 0d 09 Qed Lss.. 


经 过 该 乘法 计算 后 ,一 列 中 的 4 个 字 节 将 由 下 述 结果 取代 : 
$0 = ({0e} » $0) DB {06} » $1,c) BD {0d} » $2..) DB {09} ss) 
si,e= ({09} » $0,c) DB ({0e} sc) DB {00} » $2,) DB {0d} «53,.) 
s2.c= ({0d} » $0,c) BD ({09} se) DB ({0e} sz) DB {00} sa) 
se= ({0b} os0) DB {0d} $30) DB {09} 33,.) BD {0e} «53,.) 


3.6.9 等 价 的 解密 变换 
在 第 3. 6. 8 节 描 述 的 解密 算法 中 ,其 各 个 变换 的 操作 顺序 与 加 密 算 法 不 同 ,但 是 加 密 和 
解密 算法 中 的 密 钥 编排 形式 相同 。 其 缺点 是 对 同时 要 求 加 密 和 解密 的 应 用 而 言 ,需要 两 个 


不 同 的 软件 或 者 固件 模块 。 因 此 ,需要 构造 一 个 等 价 的 解密 算法 ,解密 时 各 个 变换 的 操作 顺序 
与 加 密 ( 由 逆向 变换 取代 原来 的 变换 ) 相 同 。 为 了 达到 这 个 要 求 ,需要 对 密 钥 扩展 进行 改进 。 
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通过 两 处 改进 可 以 使 解密 算法 结构 和 加 密 算法 结构 一 致 。 前 面 已 经 提 到 ,加 密 算 法 和 
解密 算法 的 轮 结构 顺序 不 同 ,如果 将 解密 轮 中 的 前 两 个 变换 阶段 交换 ,后 两 个 变换 阶段 也 交 
换 就 能 保证 解密 算法 结构 和 加 密 算法 结构 相同 。 

1. 交换 逆向 行 移 位 和 逆向 字 节 代 换 

字 节 代 换 和 行 移 位 的 顺序 不 影响 结果 。 先 进行 行 字 节 代 换 ,再 进行 行 移 位 等 价 于 先进 
行 行 移 位 ,再 进行 字 节 代 换 。 对 于 逆向 行 移 位 和 逆向 字 节 代 换 同样 成 立 , 因 此 可 以 将 这 两 个 
操作 交换 。 

2. 交换 轮 密 钥 加 和 逆向 列 混淆 

轮 密 钥 加 和 逆向 列 混淆 并 不 改变 State 中 的 字 节 顺序 。 如 果 将 密 钥 看 成 是 字 的 序列 ， 
那么 轮 密 钥 加 和 逆向 列 混淆 每 次 都 是 对 State 的 一 列 进行 操作 。 列 混淆 (MixColumns()) 
和 逆向 列 混淆 (lnvMixColumns()) 运 算是 关于 列 输入 的 线性 变换 ,那么 : 

InvMixColumns(State® Round Key)= 
InvMixColumns(State)® InvMixColumns(Round Key) 

这 表明 密 钥 加 和 逆向 列 混淆 可 以 互 换 , 只 要 将 解密 中 密 钥 编排 得 到 的 密 钥 列 ( 字 ) 应 用 
InvMixColumns() 变 换 进行 修改 即 可 。 

等 价 的 解密 算法 如 图 3. 30 所 示 。 算 法 将 InvSubBytes() 变 换 和 InvShiftRows() 变 换 的 顺 
序 反 转 过 来 ,同时 当 利用 InvMixColumns() 变 换 时 ,修改 了 1~ Nr 一 1 轮 的 解密 密 钥 编排 结果 
后 ,并 将 “ 轮 循环 ”中 使 用 的 AddRoundKey() 变 换 和 InvMixColumns() 变 换 的 顺序 反 转 。 解 密 
密 钥 编排 结果 的 第 一 个 和 最 后 一 个 Nb 字 将 不 使 用 该 方式 进行 修改 。 字 数组 dw[ ] 中 包含 了 
修改 过 的 解密 密 钥 编排 结果 。 图 3. 30 中 也 显示 了 我 们 对 密 钥 扩 展 程序 的 修改 。 


EqlInvCipher(byte in[ 4 * Nb],byte out[4 * Nb],word dw[Nbx (Nr+1)]) 
begin 

byte state[ 4,Nb] 

state 一 in 

AddRoundKey(state, dw[ Nr * Nb,(Nr+1) * Nb—1]) 


for round= Nr—1 step 一 1 downto 1 

InvSubBytes(state) 

InvShiftRows( state) 

InvMixColumns( state) 

AddRoundKey(state, dw[ round * Nb,(round 十 1) * Nb—1]) 
end for 


InvSubBytes(state) 
InvShiftRows(state) 
AddRoundKey(state, dw[0, Nb—1]) 


Out= state 
end 
下 面 的 伪 代 码 加 在 密 钥 扩展 算法 后 面 : 
for i=0 step 1 to (Nr+1) * Nb 一 1 
dw[ 让 =w[ 
end for 


for round=1 step 1 to Nr 一 1 
InvMixColumns(dw[ round * Nb,(Cround 十 1) * Nb—1]) 
end for 


图 3.30 AES 等 价 解密 算法 


第 3 章 对 称 密码 技术 73 


3.6.10 AES 的 安全 性 


AES 的 设计 的 各 个 方面 都 使 它 具有 能 够 抵抗 所 有 已 知 攻击 的 能 力 。AES 的 轮 函数 设 
计 为 基于 宽 轨迹 策略 CWide Trail Strategy) ,这 种 设计 策略 是 针对 差分 密码 分 析 和 线性 密码 
分 析 的 。 主 要 包括 两 个 设计 准则 : 其 一 是 选择 差分 均匀 性 比较 小 和 非 线性 度 比较 高 的 S 
盒 ; 其 二 是 适当 选择 线性 变换 ,使 得 固定 轮 数 中 的 活动 S 盒 的 个 数 尽 可 能 多 。 如 果 差 分 特 
征 (或 线性 逼近 ) 中 某 一 轮 的 活动 S 盒 的 个 数 比较 少 ,那么 下 一 轮 中 的 活动 S 盒 的 个 数 就 必 
须要 多 一 些 。 宽 轨迹 策略 的 最 大 优点 是 可 以 估计 算法 的 最 大 差分 特征 概率 和 最 大 线性 逼近 
概率 ,由 此 可 以 评估 算法 抵抗 差分 密码 分 析 和 线性 密码 分 析 的 能 力 。 另 外 AES 的 密 钥 长 度 
也 足以 抵抗 穷 举 密 钥 攻击 。 并 且 AES 算法 对 密 钥 的 选择 没有 任何 限制 ,还 没有 发 现 弱 密 钥 
和 半 弱 密 的 存在 。 


3.7 中 国 商 用 密码 算法 一 一 SMS4 


SMS4 算法 是 中 国 国家 商用 密码 管理 办 公 室 于 2006 年 1 月 公布 的 用 于 无 线 局 域 网 产 
品 的 分 组 对 称 密码 算法 ,是 国内 官方 公布 的 第 一 个 商用 密码 算法 ,具有 较 好 的 抗 破 解 能 力 。 
SMS4 是 分 组 对 称 密码 算法 ,分 组 长 度 和 密 钥 长 度 为 128 比特 。SMS4 算法 的 S 盒 设计 已 经 
达到 欧美 分 组 密码 标准 算法 S 盒 的 设计 水 准 , 具 有 较 好 平衡 性 和 非 线性 ,但 其 算法 的 整体 安 
全 特性 还 有 待 进一步 研究 。SMS4 算法 的 提出 ,无 论 是 对 无 线 局 域 网 产业 还 是 对 商用 密码 
研究 都 有 非常 重要 的 意义 , 极 大 地 推进 了 对 密码 算法 的 研究 及 其 开发 本 土 化 的 进程 。 


3.7.1 SMS4 加 密 


SMS4 算法 是 一 个 分 组 算法 ,分 组 长 度 为 128 位 , 密 钥 长 度 也 为 128 位 。SMS4 算法 中 
数据 处 理 单位 有 字 和 字 节 , 字 为 一 个 整体 的 32 比特 序列 , 字 节 为 8 比特 序列 。 加 密 算法 与 
密 钥 扩展 算法 都 采用 32 轮 非 线 性 迭代 结构 ,一 次 迭代 运算 为 一 轮 变换 。 因 此 ,128 位 明文 
的 字数 组 表示 为 Xe ,Xi , 义 ,,X，; 密 文 为 Yo,Y1,Y,,Y3。 加 密 过 程 如 图 3. 31 所 示 ,128 位 明 
文 分 为 4 个 32 位 的 字 , 经 过 32 轮 加 密 变 换 , 每 一 轮 的 加 密 变换 为 : 首先 循环 左 移 , 最 后 一 个 字 
经 过 轮 函数 下 得 到 。32 轮 的 加 密 变 换 结束 后 ,将 4 个 字 反 序 变化 后 ,得 到 128 位 密 文 。 

1. 基本 运算 

SMS4 算法 中 ,采用 了 两 种 基本 运算 :“ 田 ?表示 32 比特 异 或 运算 ,“ 二 二 < 六 表示 32 比 
特 循环 左 移 i 位 。 

2. SMS4 每 轮 结构 

SMS4 每 轮 的 结构 如 图 3. 32 所 示 。 上 一 轮 的 数据 (Xi ,Xi ,Xi+ ,Xi+),i 一 1,2,…，32。 
循环 左 移 32 位 ,然后 利用 加 密 函 数 ( 又 称 轮 函 数 ) 下 ,得 到 Xi 一 FOX ,Xis Xi Xits， 
rki-i)。 因 此 ,此 轮 输出 (Xi ,Xi+ ,Xi+ ,Xi+s) 作 为 下 一 轮 和 迭代 的 输入 。 如 此 和 迭代 32 轮 后 ， 
得 到 输出 数据 为 (Xs , Xsas ,Xat,Xas)。 再 做 反 序 变换 R, 得 到 最 终 密 文 : (mo ,mm ,Yi,Y;) 二 
所 
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128 位 明文 128 位 加 密 密 钥 
| 
产生 32 个 32 位 轮 密 钥 
TY | 为 下 到 省 ED 


第 1 轮 | 


Yn 网 下 


第 2 轮 一 一 一 一 一 一 + 


[Ba | Ja El BE 
第 32 轮 


rka 


1 zol Xs3 Xuy Ys 
反 序 变换 


1 六 | 本 1P 1 
128 位 密 文 


3.31 SMS4 加 密 算法 


rk 


wa 


Xz Xs3 


3.32 ”SMS4 加 密 每 轮 结构 


3 加密 函 数 下 

加 密 函 数 正 为 FOX 1, Xi, Xini ,Xitssrkii)=X; 1DT(X:OXinOXirs Dre 1) ,其 
中 合成 置换 是 一 个 可 道 变换 ,由 非 线 性 变换 r 和 线性 变换 工 构成 。 加 密 函 数 下 的 计算 过 
程 为 : 输入 数据 的 Xi-; 与 合成 置换 T 的 输出 做 异 或 运算 即 可 。 合 成 置换 工 的 过 程 如 
图 3. 33 所 示 。 

rz 是 由 4 个 相同 的 八 进 八 出 S 盒 并 置 而 成 ,每 一 轮 Xi; 四 Xi 四 Xi+ 四 改进 行 计算 
后 ,假设 得 到 结果 记 为 32 位 的 A= (ao ,ai ,as ,as) ,ao ait、\az、as 每 个 8 位 ,分 为 4 组 进入 S 
盒 ,输出 为 B=(b ,0 .0) 一 r(A) 一 (SC(ao),SCa) .SCas),SCas))。 

S 盒 为 固定 的 8 比特 输入 8 比特 输出 的 置换 , 记 为 S(. ) ,如 图 3. 34 所 示 。S 盒 中 的 数 
据 都 是 通过 十 六 进 制 表示 的 , 它 的 置换 规则 是 : 以 输入 的 前 半 字 节 为 行 号 ,后 半 字 节 为 列 
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号 ,行列 交叉 点 处 的 数据 即 为 输出 。 

举例 : 若 输入 "ef”, 则 经 S 盒 后 的 值 为 表 中 第 e 行 和 第 列 的 值 ,SCef) 一 84。 

非 线性 变换 r 的 输出 是 线性 变换 工 的 输入 。 设 输入 为 B, 单 位 为 字 , 输 出 为 C, 单 位 为 
字 。 则 C=L(B)=B@(8<<<2)@(B<<<1%)@(8B<<<18@®@(8<<<24)，。 


sR 
22 比特 jot | 
es 3 比特 站 
4G2 比 特 ) 
ao a 
S S 
B(32 比 特 ) 


<<<2 | <<<10 | <<<18 | <<<24 


| 


合成 置换 T 输 山 : C(32 比 特 ) 


3.33 合成 置换 


0|1|12|131415|161718|19lalblcldle|1f 


d5|db|37|45|de|fd|8e|2f|03|{ff|6a|72|6d|6c|5b|51 


加 加 四 回回 回回 固 图 加 图 固 轿 图 轿 图 | 


图 3.34 SMS4 的 S 盒 


3.7.2 密 钥 扩展 算法 
SMS4 加 密 算 法 的 轮 密 钥 由 加 密 密 钥 通过 密 钥 扩展 算法 生成 。 加 密 密 钥 由 4 个 字 ,128 
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位 组 成 ,表示 为 MK 二 (MK。 ,MKi ,MK, .MK;s), 其 中 MK;(i==0,1,2,3) 为 字 。 轮 密 钥 表示 
为 (rko ,rk1，…,rka) ,其 中 rki; (i 二 0,1,2,… ,31) 为 字 。 

FK 一 (FK。 ,FKi,FKs ,FK; ) 为 系统 参数 ,CK 二 (CK。 ,CKi,…,CKs) 为 固定 参数 ,用 于 
密 钥 扩展 算法 ,其 中 FK;(i==0,1,2,3)、CK;(i 二 0,1,… ,31) 为 字 。 

令 Ki(i 二 0,1,…,35) 为 字 , 轮 密 钥 生成 方法 如 图 3. 35 所 示 。 


n 


K; Ku Ka Kas 
© = cK 


rkeKia 中 
3.35 SMS4 轮 密 钥 生成 


首先 : (Ku ,Ki,K;,K;)= (MK DFK, ,MK 四 FK ,MK:FK, ,MK: 中 FK:) 

然后 ,对 i 一 0,1,2,…,31: rk;=Kirs= KOT (K;n OK;i+: BK OCK;) 

说 明 : 

(1) T' 变 换 与 加 密 算法 轮 函数 中 的 工 基本 相同 ,只 将 其 中 的 线性 变化 工 修 改 为 以 下 
的 LL: 


L'(B)= BO (B<<<13)®((B<<<23); 
(2) 系统 参数 FK 的 取 值 ,采用 十 六 进 制 表 示 为 : 
FK。 = (A3B1BAC6)， FK, = (56AA3350) 
FK: = (677D9197), FKs = (B27022DC) 
(3) 固定 参数 CK 的 取 值 方法 为 : 
设 cki,j 为 CK; 的 第 j 字 节 (i=0,1,…,31; j 三 0,1,2,3), 即 CK;= (cki,o, ck; ,cki,s， 
ckis);, 则 cki,j 王 (4i 十 j)X7(mod 256)。32 个 固定 参数 CK;, 其 十 六 进 制 表示 为 : 
00070e15, 1c232a31, 383{464d, 545b6269, 
70777e85, 8c939aal, a8afb6bd, c4cbd2d9, 
e0e7eef5,. fc030all, 181f262d, 343b4249， 
50575e65, 6c737a81, 888{969d, a4abb2b9, 
cOc7ced5, dce3eafl, f8ff060d, 141b2229,， 
30373e45, 4c535a61, 686{767d, 848b9299, 
a0a7aeb5, bcc3cadl, d8dfe6ed, f4fb0209, 
10171e25, 2c333a41, 484f565d, 646b7279 
例 3.11 按照 SMS4 加 密 算法 ,对 一 组 明文 (01 23 45 67 89 ab def fe dc ba 98 76 54 32 
10) 用 密 钥 加 密 一 次 。 加 密 密 钥 : 01 23 45 67 89 ab def fe dc ba 98 76 54 32 10。 其 中 ,数据 
采用 十 六 进 制 表示 。 求 每 一 轮 的 轮 密 钥 、 每 轮 最 后 32 位 的 输出 状态 以 及 最 终 的 密 文 。 
解 : (1) 第 一 轮 轮 密 钥 rko 的 计算 过 程 如 下 。 
QO@ 首先 ,将 加 密 密 钥 MK 二 (MK。 .MKi ,MK; ,MK; ) 按 字 分 为 4 组 ,分 别 为 ; 
MK。 = (01234567), MK, = (89abcdef) ， MK, = (fedcba98), MKs = (76543210) 
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已 知 FK。 王 (A3B1BAC6) ,FK, 王 (56AA3350) ,FK: 王 (677D9197) ,FK: 王 (B27022DC) 
(Ko, Ki , 开 , 民 : ) 一 (MK 由 FKo ,MK 中 FK ,MK: 引 FK, ,MK: 中 FK:) 

求 出 (Ko ,Ki ,K:,Ks) 各 个 的 值 : 

MK。 = 0000 0001 0010 0011 0100 0101 0110 0111 
FK。 = 1010 0011 1011 0001 1011 1010 1100 0110 

两 者 做 异 或 运算 后 ,得 : 

天 。 王 1010 0010 1001 0010 1111 1111 1010 0001 

同 理 计算 ,可 以 分 别 得 : 

天 = 1101 1111 0000 0001 1111 1110 1011 1111 
K, = 1001 1001 1010 0001 0010 1011 0000 1111 
K; 1100 0100 0010 0100 0001 0000 1100 1100 

@ 然后 , 求 出 了 T 变 换 的 输出 。 

固定 参数 CK。 的 十 六 进 制 表示 为 00070e15。 则 通过 异 或 运算 A= (ao sai,as,as) 一 
Ki1K:@K;@CK, = (1000 0010 1000 0011 1100 1011 0110 1001), 十 六 进 制 表示 为 
82 83 cb 69 。 

再 将 输出 结果 A 分 为 4 组 进入 S 盒 ,通过 查 表 ,输出 B 的 十 六 进 制 为 8a d2 41 22。 

利用 公式 L'(B)=B 人 @(8<<<<13)@(8<<<23), 得 : 

L’(B) = 0101 0011 1011 0011 0111 1001 0101 1000 

@ 最 后 ,利用 公式 rk; 二 Kin4 二 Ki:@T (Kin 名 Ki+: 四 Ki+s 外 CKi) ,得 到 ， 

rko 二 K, 二 KoBT'(B)=1111 0001 0010 0001 1000 0110 1111 1001, 十 六 进 制 表示 为 
M2186 9。 

(2) 根据 第 1 轮 轮 密 钥 rke 的 计算 结果 ,将 128 位 的 明文 同样 分 组 ,利用 加 密 函 数 
FOXi1, Ki Kitis Kitz Tk;—1) =X: OT(X:OXin DX Ork; > ,得 到 第 1 轮 X4 的 输 
出 状态 为 27 fa d3 45。 

(3) 按照 第 (1) 步 和 第 (2) 步 计算 ,能够 求 出 每 轮 的 轮 密 钥 和 后 32 位 的 输出 状态 。 

rko =f{12186f9 X,=27fad345, rk =41662b61 Xs=al8b4cb2 
rk, =5a6abl9a Xe 一 11cle22a， Tks =7ba92077 X;? 一 ccl3e2ee 

rk, 一 367360f4 Xs 一 f87c5bd5 ， rks 一 776a0c61 X, =33220757 
rke 一 b6bb89b3 X=77f4c297, rk; 一 24763151 Xi 一 7a96f2eb 
rks 一 8520307c Xiz 一 27dac07f， rks =b7584dbd X13=42dd0f19 
rkio=c30753ed Xu=b8a5da02, rkn=7ee55b57 Xis =907127fa 
rkis=6988608c Xis=8b952b83, rk1s =30d895b7 Xi 一 d42b7c59 
rki 一 44bal4af Xis 一 2ffc5831， Tkis =104495al Xio 一 f69e6888 
rkis =dl20b428 ”Xa 一 af2432c4， rk 一 73b55fa3 Xz =edlec85e 
rkis = cc874966 Xz = 55a3ba22, Tkie 一 92244439 Xzs 一 124b18aa 
rkzo =e89e641f X=6ae7725f{, rkz2 =98ca0l5a Xs 一 f4cbalf9 

rk2 一 c7159060 。”Xx 一 1dcdfal0， rkzs 一 99elfd2e X2 一 2ff60603 

rkz 一 b79bd80c ”Xazs 一 eff24fdc， rkzs =1d2115b0 Xz =6fe46b75 
rkz6 一 0e228aeb ”Xia 一 893450ad Tk2 ={1780c81 Xa 一 7b938f4c 
rkzs =428d3654 X=536e4246, rk 一 62293496 Xss 一 86b3e94f{ 
rkso =01cf72e5 Xa 一 d206965e， rks 一 9124a012 Xss =681edf34 


78 信息 安全 原理 与 技术 (第 2 版 ) 


(4) 按照 (Yo Yi Ya Ys) 一 RCXsoyXasyXayXs) 一 (Xi XaXssyXsz) 得 到 的 密 文 结 
果 为 68 le df 34 d2 06 96 5e 86 b3 e9 4f 53 6e 42 46。 


3.7.3 SMS4 解密 


SMS4 的 解密 变换 与 加 密 变 换 结构 相同 ,不 同 的 仅 是 轮 密 钥 的 使 用 顺序 。 
。 加 密 时 轮 密 钥 的 使 用 顺序 为 : (rko ,rki,… ,rk ) 
。 解密 时 轮 密 钥 的 使 用 顺序 为 : (rk ,rkso ,… ,rko) 


3.7.4 SMS4 的 安全 性 


SMS4 算法 是 由 中 国 国家 专业 机 构 设计 , 自 2006 年 公布 之 后 ,SMS4 分 组 密码 引起 了 国 
内 外 学 术 界 和 产业 界 的 极 大 关注 ,先后 有 学 者 研究 了 SMS4 对 差分 故障 攻击 、 积 分 攻击 、 不 
可 能 差分 密码 分 析 ,` 代 数 攻击 .矩阵 攻击 ` 差 分 密码 分 析 线性 密码 分 析 等 分 析 方法 的 安全 
性 。 至 今 为 止 , 从 专业 机 构 对 SMS4 进行 的 密码 分 析 来 看 ,SMS4 算法 还 是 安全 的 ,虽然 有 
学 者 提出 21 轮 SMS4 在 受到 差分 密码 分 析 和 差分 能 量 分 析 的 攻击 时 将 面临 威胁 ,但 尚 需 经 


3.8 RC6 


RC6 是 RSA 公司 提交 给 NIST 的 一 个 候选 高 级 加 密 标准 算法 , 它 是 在 RC5 的 基础 上 
设计 的 。RC6 继承 了 RC5 的 优点 。 为 了 使 它 符合 高 级 加 密 标准 ,RC6 在 RC5 基础 上 将 分 
组 长 度 扩 展 成 128 位 ,用 4 个 32 位 区 块 代替 RC5 的 两 个 32 位 区 块 。RC6 是 参数 可 变 的 分 
组 密码 算法 ,3 个 可 变 的 参数 是 : 分 组 大 小 、 密 钥 大 小 和 加 密 轮 数 。RC6 常常 写 为 RC6-w/ 
r/b, 其 中 w 是 字 的 大 小 ,以 位 为 单位 ,r 为 加 密 轮 数 , 允 许 值 是 0,… ,255,6 为 密 钥 长 度 , 单 
位 是 字 节 ,0 过 6 过 255。 例 如 RC6-32/16/10 表示 字 长 为 32 位 ,迭代 的 轮 数 是 16, 密 钥 长 度 
为 10 字 节 。 由 于 高 级 加 密 标 准 的 要 求 是 w= 二 32,r 二 20, 因 此 满足 AES 的 RC6 算法 是 RC6- 
32/20/16, 也 就 是 4 个 32 位 字 (128 位 ) ,迭代 的 轮 数 为 20, 密 钥 长 度 16 个 字 节 。RC6 定义 
了 6 种 运算 基本 操作 ,以 2 为 底 的 对 数 表示 为 lgw。 

a 十 b: 模 2” 整数 加 。 

a 一 b: 模 2* 整数 减 。 

4 四 0: ww 位 的 字 按 位 异 或 。 

aXb: 模 2” 整数 乘 。 

a < 和 二 0: 循环 左 移 w 位 的 字 a ,移动 位 数 由 4 的 低位 lgw 位 决定 。 

a 二 >>。: 人 循环 右 移 包 位 的 字 a。 


3.8.1 RC6 的 加 密 和 解密 


RC6 和 RC5 在 加 解密 方面 是 不 一 样 的 ,RC6 用 这 4 个 ww 位 寄存 器 A、B、C.D 来 存放 输 
入 的 明文 和 输出 的 密 文 。 明 文 和 密 文 的 第 一 个 字 节 放 在 A 的 最 低 字 节 ( 即 第 一 个 字 节 ), 明 
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文 和 密 文 的 最 后 一 个 字 节 放 在 D 的 最 高 字 节 ( 即 最 后 一 个 字 节 )。RC6 的 加 密 过 程 如 图 3. 36 
所 示 , 其 中 f(x) 二 xX (2z 十 1)。 加 密 算法 和 解密 算法 分 别 如 图 3. 37 和 图 3. 38 所 示 。 


A B CG D 
1 1 
+ | sto] + -SI 
网 民 二 
-GO 
lgw lgw 
G@- 
-名 重 
复 
1 轮 
+ [= S[21] + [=— S[2i+1] 
上 1 1 
上 1 到 1 
人 平 
1 | 
+ | S[2r+2] + [= S[2r+3] 
1 1 
A B LB D 


图 3.36 ”RC6 加 密 过程 


RC6-w/r/b 加 密 
输入 : 明文 存 人 4 个 也 位 寄存 器 A、B.C.D 
轮 数 
位 轮 密 钥 S[0,1,…,2r 十 3] 
输出 : 密 文 存 人 4 个 也 位 寄存 器 A、B.C.D 
过 程 : B=B 十 S[0] 
D=D+S[1] 
fori=1 tor do 
{ 
t=(BX (2B+1))<<lgw 
u= (DX (2D+1))<<<lgw 
A=((A!) ww) +S[2] 
C=((CBW < +S[L2i+1] 
(A,B,C,D)=(B,.C,D,A) 
} 
A=A 十 S[2r 十 2] 
C=C+S[2r+3] 


图 3.37 RC6 加 密 算法 


3.8.2 密 钥 扩展 
密 钥 扩展 算法 是 从 密 钥 K 中 导出 2r 十 4 个 字 长 的 密 钥 ,储存 在 数组 SL0,…,2r 十 3] 中 用 
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于 加 密 和 解密 。 在 这 其 中 用 到 了 两 个 常量 Pw 和 Qw, Pw 和 Qr 大 小 是 一 个 字 长 ,定义 如 下 
所 示 。 

Pu 一 Odd((e 一 2)2”) 

Qw=Odd((g—2)2*) 
其 中 ,e 一 2.718 281 828 4…( 自 然 对 数 ),g 二 1. 618 033 988 74…( 黄 金 分 割 ),Odd(zx) 是 离 z 
最 近 的 奇数 。 


RC6-w/r/b 解 密 
输入 : 密 文 存 人 4 个 ww 位 寄存 器 A.B.C.D 
轮 数 7 
由 位 轮 密 钥 S[0,1,…,2r 十 3] 
输出 : 明文 存 人 4 个 ww 位 寄存 器 A.B.C.D 
过 程 : C=C 一 S[2r 十 3] 
A 一 A 一 S[2r 十 纪 
for i=r downto 1 do 
{ 
(A,B,C,D)=(D,A,B,C) 
u= (DX (2D+1))<<<lgw 
t=(BX (2B+1))<<<lgw 
C=((C—S[2i+1])>>>N@u 
A=((A—S[2i]) S>>wW@r 
} 
D=D—S[1] 
B=B—S[0] 


3.38 ”RC56 解密 算法 


密 钥 扩展 时 ,首先 将 密 钥 KL0,…,6 一 1] 放 入 cc 个 w 位 字 的 另 一 个 数组 L[0,…,c 一 1] 
中 ,其 中 ,ec 为 5/u 的 整数 部 分 ,u 二 w/8, 即 工 数 组 上 的 元 素 大 小 为 uw 位 。 将 个 连续 字 节 
的 密 钥 顺序 放 和 工 中 , 先 放 入 工 中 的 低 字 节 , 再 放 入 其 高 字 节 。 如 果 工 未 填 满 ,用 0 填充 。 
当 0 一 0,c 一 0 时 ,c= 二 1,L[0j]==0。 

其 次 利用 Pw 和 Qw 将 数组 S 初始 化 为 一 个 固定 的 伪 随 机 的 数组 ,最 后 将 用 户 密 钥 扩 
展 到 数组 S 中 , 密 钥 扩展 算法 如 图 3. 39 所 示 。 


RC6-zw/r/b 密 钥 扩 展 
输入 : 用 户 密 钥 字 节 预 放 入 数组 L[0,…,c 一 1] 
轮 数 
输出 : ww 位 的 轮 密 钥 SL0,…,2r 十 3] 
过 程 : 
S[0]= Pw 
for i=1 to 2r 十 3 do 
S[i]=S[i+1]+Qw 
A=B=i=j=0 
v=3X max{c,2r 十 4} 
for s=1 tov do 
A=S[i]=(S[]+A+B)<<3 
B=L[j]=(L[j]J+A+B)<<(A+B) 
i=(i+1) mod (2r 十 4) 
J 一 (十 1) mod < 


图 3.39 ”RC6 密 钥 扩 展 算法 
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3.8.3 RC6 的 安全 性 和 灵活 性 


RC6 是 由 RC5 发 展 而 来 的 ,加 入 了 二 次 函数 f(x) 二 +X (2z 十 1) ,这 个 函数 提高 了 函数 
密码 扩散 速度 。 用 二 次 函数 变换 的 寄存 器 B 和 D 的 值 来 修改 寄存 器 A 和 C 的 值 ,增加 了 
密码 的 非 线性 。 因 此 RC6 有 很 好 的 抗 差分 攻击 和 线性 攻击 的 能 力 。 另 外 RC6 的 加 密 和 解 
密 的 时 间 都 与 数据 无 关 , 可 以 有 效 地 避免 计时 攻击 。 同 时 ,也 没有 RC6 存在 类 似 DES 中 的 
弱 密 钥 。 

与 其 他 加 密 算法 不 同 的 是 , RC6 算法 在 加 密 过 程 中 不 需要 查找 表 , 加 之 算法 中 的 乘法 
运算 也 可 以 用 平方 代替 ,所 以 该 算法 对 内 存 的 要 求 很 低 。 这 使 得 RC6 特别 适合 在 单片机 上 
实现 。 


3.9 流 密 码 


3.9.1 流 密码 基本 原理 


一 次 一 密 密 码 是 绝对 安全 的 密码 ,如 果 能 以 某 种 方式 仿效 一 次 一 密 密 码 ,将 可 以 得 到 安 
全 性 很 高 的 密码 。 长 期 以 来 ,人 们 试图 以 流 密码 方式 仿效 一 次 一 密 密 码 , 从 而 促进 了 流 密码 
的 研究 和 发 展 。 目 前 ,序列 密码 的 理论 已 经 比较 成 熟 , 而 且 流 密码 实现 简单 、 加 密 速 度 快 、 密 
文 传输 中 的 错误 不 会 在 明文 中 产生 扩散 ,使 得 流 密码 成 为 许多 重要 领域 应 用 的 主流 密码 
体制 。 

流 密码 也 称 为 序列 密码 , 它 是 对 明文 以 一 位 或 者 一 个 字 节 为 单位 进行 操作 。 为 了 使 加 
密 算 法 更 安全 ,一 般 选 取 尽 可 能 长 的 密 钥 ,但 是 长 密 钥 的 存储 和 分 配 都 很 困难 。 于 是 流 密 码 
采用 一 个 短 的 种 子 密 钥 来 控制 密 钥 流 发 生 器 创建 出 长 的 密 钥 序列 , 供 加 解密 使 用 ,而 短 的 种 
子 密 钥 的 存储 、 分 配 都 较 容易 。 图 3. 40 是 流 密码 的 加 密 过 程 。 种 子 密 钥 上 输入 到 密 钥 流 发 
生 器 ,产生 一 系列 密码 流 ,通过 与 同一 时 刻 的 一 个 字 节 或 者 一 位 明文 流 进行 异 或 操作 产生 密 
文 流 。 解 密 时 只 要 将 密 文 流 与 密 钥 流 进行 异 或 操作 产生 明文 流 。 例 如 ,如 果 密 钥 流 发 生 器 
产生 的 密 钥 流 一 个 字 节 为 10011001, 明 文 流 一 个 字 节 为 01001010 ,那么 密 钥 流 与 明文 流 异 
或 可 以 产生 密 钥 流 11010011。 同 样 ,将 密 文 流 与 密 钥 流 异 或 就 能 得 到 明文 流 。 

在 流 密码 中 ,如 果 密 钥 流 的 产生 完全 独立 于 明文 流 或 密 文 流 , 则 称 该 流 密码 为 同步 流 密 
码 (Synchronous Stream Cipher) ,如 图 3. 41 所 示 。 如 果 密 钥 流 的 产生 与 明文 或 者 密 文 相 
关 , 则 称 这 类 流 密 码 为 自 同步 流 密码 (Self-Synchronous Stream Cipher) ,如 图 3. 42 所 示 。 


种 子 密 钥 k 一 安全 通道 分 配种 子 密 钥 # 一 
了 
密 明 流 发 生 器 密 钥 流 发 生 器 密 钥 流 发 生 器 
密 钥 流 右 起 ba 
Mi 0 i Ci 0) LF 
明文 流 m 密 文 流 c 发 送 广 传输 通道 接收 方 


图 3.40 流 密码 加 密 过 程 图 3.41 同步 流 密码 
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安全 通道 分 配种 子 密 钥 一 
了 
密 钥 流 发 生 器 密 钥 流 发 生 器 
La ba 
mi Ci Gi mi 
ee 下 
发 送 方 传输 通道 接收 方 


图 3.42 自 同步 流 密码 


对 于 同步 流 密码 ,只 要 通信 双方 的 密 钥 流 产生 器 具有 相同 的 种 子 密 钥 和 相同 的 初始 状 
态 ,就 能 产生 相同 的 密 钥 流 。 在 保密 通信 过 程 中 ,通信 的 双方 必须 保持 精确 的 同步 , 收 方才 
能 正确 解密 ,如 果 失 步 收 方 将 不 能 正确 解密 。 例 如 ,如 果 通 信 中 丢失 或 增加 了 一 个 密 文字 
符 , 则 接收 方 将 会 一 直 收 到 错误 的 信息 ,直到 重新 同步 为 止 ,这 是 同步 流 密码 的 一 个 主要 缺 
点 。 但 是 同步 流 密码 对 失 步 的 敏感 性 ,使 我 们 能 够 容易 检测 插入 、 删 除 、 重 播 等 主动 攻击 。 
由 于 同步 流 密码 各 操作 位 之 间 相 互 独立 ,因此 应 用 这 种 方式 进行 加 解密 时 无 错误 传播 , 当 操 
作 过 程 中 产生 一 位 错误 时 只 影响 一 位 ,不 影响 后 续 位 ,这 是 同步 流 密码 的 一 个 优点 。 

对 于 自 同步 流 密码 ,每 一 个 密 钥 位 是 由 前 面 个 密 文 位 参与 运算 推导 出 来 的 ,其 中 为 
定 值 。 因 此 ,如 果 在 传输 过 程 中 丢失 或 更 改 了 一 个 位 , 则 这 一 错误 就 要 向 前 传播 个 位 。 因 
此 , 自 同 步 流 密码 有 错误 传播 现象 。 不 过 ,在 收 到 个 正确 的 密 文 位 以 后 ,密码 自身 会 实现 
重新 同步 。 在 自 同步 流 密码 系统 中 , 密 文 流 参与 了 密 钥 流 的 生成 ,这 使 得 对 密 钥 流 的 分 析 非 
常 复杂 ,从 而 导致 对 自 同步 流 密码 进行 系统 的 理论 分 析 非 常 困难 。 


3.9.2 密 钥 流产 生 器 


流 密 码 的 安全 强度 完全 取决 于 它 所 产生 的 密 钥 流 的 特性 ,如 果 密 钥 流 是 无 限 长 且 为 无 
周期 的 随机 序列 ,那么 流 密码 属于 “一 次 一 密 ” 的 密码 体制 ,但 遗憾 的 是 满足 这 样 条 件 的 随机 
序列 在 现实 中 无 法 生成 。 在 实际 应 用 当中 的 密 钥 流 都 是 由 有 限 存 储 和 有 限 复杂 逻辑 的 电路 
产生 的 字符 序列 ,由 于 密 钥 流 生 成 器 只 具有 有 限 状态 ,那么 它 产 生 的 序列 具有 周期 性 ,不 是 
真正 的 随机 序列 。 现 实 设计 中 只 能 追求 密 钥 流 的 周期 尽 可 能 长 ,随机 性 尽 可 能 好 ,近似 于 真 
正 的 随机 序列 。 一 个 好 的 密 钥 流 须要 满足 下 面 几 个 条 件 。 

(1) 加 密 序列 的 周期 要 长 。 密 钥 流 生成 器 产生 的 比特 流 最 终 会 出 现 重 复 。 重复 的 周期 
越 长 ,密码 分 析 的 难度 越 大 。 

(2) 密 钥 流 应 该 尽 可 能 地 接近 一 个 真正 的 随机 数 流 的 特征 。 如 1 和 0 的 个 数 应 近似 相 
等 。 如 果 密 钥 流 为 字 节 流 , 则 所 有 的 256 种 可 能 的 字 节 的 值 出 现 频率 应 近似 相等 。 

(3) 为 了 防止 穷 举 攻击 ,种 子 密 钥 值 也 应 该 有 足够 的 长 度 , 至 少 要 保证 它 的 长 度 不 小 于 
128 位 。 

生成 一 个 具有 良好 特性 的 密 钥 流 序列 的 常见 方法 有 : 线性 反馈 移 位 寄存 器 (Linear 
Feedback Shift Register,LFSR) , 非 线性 移 位 寄存 器 (NLFSR)、 有 限 自动 机 ,线性 同 余 、 混 
沌 密码 序列 等 方法 。 这 些 方法 都 是 通过 一 个 种 子 ( 有 限 长 ) 密 码 产 生 具有 足够 长 周期 的 、 随 
机 性 良好 的 序列 。 只 要 生成 方法 和 种 子 都 相同 ,就 会 产生 完全 相同 的 密 钥 流 。 目 前 密 钥 流 
生成 器 大 多 是 基于 移 位 寄存 器 。 因 为 移 位 寄存 器 结构 简单 ,易于 实现 且 和 运行 速 度 快 。 本 节 
主要 介绍 线性 移 位 寄存 器 。 
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密 钥 流产 生 器 一 般 由 线性 移 位 寄存 器 (LFSR) 和 一 个 非 线性 组 合 函 数 两 部 分 构成 。 其 
中 线性 移 位 寄存 器 部 分 称 为 驱动 部 分 . 另 一 部 分 称 为 非 线性 组 合 部 分 ,如 图 3. 43 所 示 。 其 工 
作 原 理 是 将 驱动 部 分 , 即 线性 移 位 寄存 器 在 j 时 刻 的 状态 变量 x 作为 一 组 值 输入 非 线性 组 合 
部 分 的 ,将 f(x) 作为 当前 时 刻 的 密 钥 有 。 驱 动 部 分 负责 提供 非 线 性 组 合 部 分 使 用 的 周期 大 、 
统计 性 能 好 的 序列 ,而 非 线性 组 合 部 分 以 各 时 刻 移 位 寄存 器 的 状态 组 合 出 密 钥 序列 。 

移 位 寄存 器 是 流 密 码 产 生 器 的 主要 部 分 ,图 3. 44 是 一 个 域 GF(2) 上 的 反馈 移 位 寄存 
器 ,图 中 标 有 ai ,az ,…',a ivya 的 小 方 框 表示 二 值 (0,1) 存 储 单元 ,可 以 是 一 个 双 稳 触发 
器 ,信号 流 从 左 向 右 。 这 个 二 值 存储 单元 称 为 该 反馈 移 位 寄存 器 的 级 。 在 任意 一 个 时 刻 ， 
这 些 级 的 内 容 构 成 该 反馈 移 位 寄存 器 的 状态 。 每 一 个 状态 对 应 于 GF(2) 上 的 一 个 维 向 
量 ,共有 2" 种 可 能 的 状态 。 每 个 时 刻 的 状态 可 用 长 序列 wm ,as，…,a, 或 nn 维 向 量 wm ,az ，…， 
w 表示 ,其 中 ai 为 当前 时 刻 第 i 级 存储 器 中 的 内 容 。 


输出 序列 
an Ql om QI Pe 
移 位 守 存 名 | 一 "| 非 线性 组 合 | ， 密 钥 流 4 
(LFSR) = 函数 flai,ay,… "dn) 
图 3.43 密 钥 流 产生 器 图 3.44 反馈 移 位 寄存 器 


在 主 时 钟 确定 的 周期 区 间 上 ,每 一 级 存储 器 w 都 将 其 内 容 向 下 一 级 a;-1 传 递 ,并 根据 
寄存 器 当时 的 状态 计算 pr an 的 下 一 时 间 周 期 的 内 容 ,其 中 反馈 函数 
flairvazs，*… ,dw) 是 nn 元 布尔 函数 。 所 以 在 时 钟 的 每 一 脉冲 下 ,总 是 从 一 个 状态 转移 到 另 一 
个 状态 。 

馈 函 数 f(a ,az ,an) 一 coal 图 ci 四 … 四 ca 其 中 ,为 0 或 者 1, 甸 是 模 
2 加法。 这 个 反馈 函数 是 ai ,as，… ,a 的 线性 函数 。 称 这 种 反馈 移 位 寄存 器 为 线性 移 位 寄 
存 器 (LFSR) ,否则 称 为 非 线 性 移 位 寄存 器 。 
如 果 反 馈 移 位 寄存 器 的 状态 为 : 
Si 一 (ai 和 yaQihrl) 
则 ar 一 /Cases ai) ,这 个 ar 又 是 移 位 寄存 器 的 输入 。 在 w+ 的 驱动 下 , 移 位 寄 
存 器 的 各 个 数据 向 前 推移 一 位 ,使 状态 变 为 sr = (or ，…,aits) ,同时 ,整个 移 位 寄存 器 的 
输出 为 a;。 由 此 可 以 得 到 一 系列 数据 ai ,as ,…* ,a,，…。 


例 3.12 图 3.45 是 一 个 三 级 移 位 寄存 器 ,初始 输出 
状态 是 5 二 (aisas vas) 一 (1,0,1), 写 出 它 的 输出 序列 下 下 站 Le 
的 前 5 位 。 

从 图 3. 45 中 可 以 发 现 反馈 函数 是 a 和 as 的 异 Os 
或 ,那么 三 级 移 位 寄存 器 的 输出 如 表 3. 10 所 示 。 图 3.45 一 个 三 级 移 位 寄存 器 


表 3.10 三 级 移 位 寄存 器 的 输出 


状态 (as ,az ,a ) 输 出 状态 (as ,az ,a ) 输 出 
101 1 010 0 
010 0 110 0 
101 让 
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3.9.3 RC4 算法 


RC4 是 Ron Rivest 在 1987 年 为 RSA 数据 安全 公司 设计 的 一 种 同步 流 密 码 。 据 分 析 
显示 该 密码 的 周期 大 于 10"" 。 每 输出 一 字 节 的 结果 仅 需要 8 一 16 条 机 器 操作 指令 。RC4 
的 应 用 很 广 , 例 如 它 被 集成 于 Microsoft Windows、Lotus Notes、 Apple AOCE 和 Oracle 
Secure SQL 中 ,还 被 用 于 SSL/TLS、WEP(Wired Equivalent) 等 协议 中 。 

RC4 不 是 基于 移 位 寄存 器 的 流 密码 ,而 是 一 种 基于 非 线性 数据 表 变 换 的 流 密码 , 它 
以 一 个 足够 大 的 数据 表 为 基础 ,对 表 进 行 非 线性 变换 ,产生 非 线 性 密 钥 流 序列 。RC4 是 
一 个 可 变 密 钥 长 度 、 面 向 字 节 操作 的 流 密码 ,该 字 节 的 大 小 可 以 根据 用 户 需 要 来 定义 ， 
一 般 应 用 中 都 取 8 位 。 流 密 钥 的 生成 需要 两 个 处 理 过 程 : 一 个 是 密 钥 调度 算法 (Key- 
Scheduling Algorithm,KSA) ,用 来 设置 数据 表 S 的 初始 排列 ; 另 一 个 是 伪 随 机 产生 算法 
(Pseudo Random-Generation Algorithm ,PRGA) ,用 来 选取 随机 元 素 并 修改 S 的 原始 排列 
顺序 。 

密 钥 流产 生 过 程 是 用 1 一 256 个 字 节 的 可 变 长 度 的 密 钥 初始 化 一 个 256 个 字 节 的 数据 
表 S,S 的 元 素 记 为 SG) ,0 委 i 委 255, 大 小 为 一 个 字 节 。 加 密 和 解密 用 的 每 一 个 密 钥 K (i) 
都 是 由 S 中 的 元 素 按照 一 定 的 方式 选 出 一 个 元 素 而 生成 的 。 每 生成 一 个 开 (GD 值 ,S 中 的 元 
素 就 被 重新 置换 一 次 。 

1，KSA 初始 化 S 

初始 化 时 , 先 对 S 进行 填充 , 即 令 S(0)=0,S(1)=1,S(2) 王 2,…,S(255) 一 255。 用 种 
子 密 钥 填充 一 个 256 个 字 节 的 密 钥 表 K.,K(0),K(1),K(2),…,K(255), 如 果 种 子 密 钥 的 
长 度 小 于 天 的 长 度 , 则 依次 重复 填充 ,直到 将 K 填 满 ,然后 通过 SCGD 和 天 (置换 S 中 的 元 
素 ,其 过 程 如 下 。 


for i=0 to 255 do 
S(D=i; 
T() = K(i mod keylen) 


了 

for i=0 to 255 do 
j=(j+S(D+T()) mod 256; 
Swap (S(D),S()))s 


其 中 keylen 为 种 子 密 钥 长 度 ,T( 让 是 一 个 临时 数据 表 。 上 面 过 程 对 S 操作 仅仅 是 交 
换 , 交 换 后 S 所 包含 的 值 仍然 是 0 一 255 的 元 素 。 

2. 密 钥 流 生成 

数据 表 S 一 旦 完成 初始 化 ,将 不 再 使 用 种 子 密 钥 。 当 KSA 完成 S 的 初始 化 后 ,PRGA 
就 将 接手 工作 , 它 为 密 钥 流 选取 一 个 个 的 字 节 , 即 从 S 中 选取 随机 元 素 , 并 修改 S 以 便 下 一 
次 选取 。 密 钥 流 的 生成 是 SC0) 一 S(255) ,对 每 个 SG) ,根据 当前 的 S 值 ,将 SG) 与 S 中 的 
另 一 个 字 节 置换 。 当 S(255) 完 成 置换 后 ,操作 继续 重复 从 SC0) 开 始 。 密 钥 流 的 选取 过 程 
如 下 。 
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滤 
CD 
地 


10 了 05 

while(true) 
i 一 (十 1) mod 256; 
J 一 (十 SGD)) mod 256; 
Swap(S(CiD ,SCO)); 
t=(S(D)+5())) mod 256; 
k=S(t); 


例 3.13 假如 使 用 3 位 (0 一 7) 的 RC4, 其 操作 是 对 8 取 模 (而 不 是 对 256 取 模 )。 数 据 
表 5 只 有 8 个 元 素 。 初 始 化 为 ， 


你 小生 2|3|4|15|617 
Ss 9 2 3 4 5 6 7 


选取 一 个 密 钥 ,该 密 钥 是 由 0 一 7 的 数 以 任意 顺序 组 成 的 。 例 如 选取 5、6 和 7 作为 密 
钥 。 将 该 密 钥 如 下 填 入 密 钥 数据 表 中 。 


本 小 局 |- 划 中 二 
下 二 0 


利用 如 下 循环 构造 实际 S 数据 表 。 


a 
口 
~ 
a 
E 


j=0; 
for i=0 to 7 do 
J 一 (J 十 SCGD 十 KCD) mod 8; 
Swap(S(2D) ,S00))); 


该 循环 以 j==0 和 ;= 一 0 开始 ,使 用 更 新 公式 后 j 为 : 
j= 二 (0 十 S(0) 二 K(0)) mod 8 一 (0 十 0 十 5) mod 8 二 5 
因此 ,S 数据 表 的 第 一 个 操作 是 将 S(0) 与 S(5) 互 换 , 互 换 结果 如 下 所 示 。 


区 
S 0 1 2 3 4 5 6 7 


i 加 1 后 ,i 的 下 一 个 值 为 : 
j= 二 (5 十 S(1) 二 K(1)) mod 8 一 (5 十 1 十 6) mod 8 一 4 
即将 S 数据 表 的 S(1) 与 S(4) 互 换 , 互 换 结果 如 下 所 示 。 


名 | 
2 3 4 5 6 7 


5 | 4 
S 0 1 
当 该 循环 执行 完 后 ,数据 表 S 就 被 随机 化 
淹 攻 划 攻 ' 辐 攻 二 区 加 区 滞 医 其 攻 : 
二 
这 样 数据 表 S 就 可 以 用 来 生成 随机 的 密 钥 流 序列 了 。 从 7 一 0 和 ;一 0 开始 开始 ,RC4 将 如 
下 所 示 计 算 第 一 个 密 钥 字 ， 
i 一 (十 1) mod 8 一 (0 十 1) mod 8 一 1 
Jj 一 (十 SGD)) mod 8 一 (0 十 SG1)) mod 8 一 (0 十 4) mod 8 一 4 
Swap(S(1),S(4)) 
交换 后 数据 表 S 变 为 : 


过 


86 信息 安全 原理 与 技术 (第 2 版 ) 


:让 
S 0 1 2 3 4 5 6 7 


然后 如 下 计算 t 和: 
t=(S(D)+S5()) mod 8 一 :一 (SG1) 十 SC4)) mod 8 一 (1 十 4) mod 8=5 
k=S(1)=S(6)=6 

第 一 个 密 钥 字 是 6, 其 二 进 制 表示 为 110。 重 复 该 过 程 ,直到 生成 的 二 进 制 位 的 数量 等 
于 明文 位 的 数量 。 

常见 的 RC4 实现 是 基于 "一 8 的 (数字 为 0 一 255)。 这 种 系统 执行 完 KSA 后 的 数据 表 
S 是 0~255 的 一 个 排列 ,共有 2561( 即 2”” ) 种 可 能 。 这 相当 于 使 用 一 个 1600 位 的 密 钥 ,这 
使 得 穷 举 攻击 变 得 不 可 能 。 在 RC4 中 ,有 一 些 弱 点 可 用 来 破解 该 加 密 法 。 例 如 ,RSA 永远 
不 会 生成 某 类 密 钥 ,例如 ) 一 :十 1 与 SO) 王 1。 事 实证 明 , 这 类 密 钥 的 数量 占 到 了 所 有 可 能 
密 钥 数 的 2-”。 当 n=8 时 ,就 是 (2561/2")。 

RC4 算法 在 设计 过 程 中 采用 了 非 线 性 的 S 盒 , 能 够 抵抗 差分 攻击 和 线性 分 析 , 但 是 
RC4 的 安全 性 还 是 令 人 担忧 。1999 年 ,Kundanrewich 等 人 设计 了 一 个 可 编程 逻辑 电路 用 
33 天 穷 举 了 40 位 的 RC4 算法 ; 2001 年 ,Fluhrer 等 人 则 提出 了 分 析 RC4 算法 的 有 效 方法 ， 
称 为 FMS 的 分 析 方法 ,该 方法 主要 是 针对 WEP( Wired Equivalent Privacy) 协 议 ,该 协议 采 
用 流 密码 算法 RC4 作为 加 密 算法 ,为 了 克服 流 密 钥 重 用 的 问题 ,在 WEP 协议 中 引入 了 初始 
向 量 , 这 样 可 以 增强 抗 穷 举 攻击 能 力 , 但 是 也 产生 了 FMS 的 分 析 方 法 ,该 方法 是 针对 以 明 
文 传送 的 初始 向 量 和 对 应 的 802. 11 帧 的 特点 进行 攻击 的 。 


3.10 分 组 密码 工作 模式 


分 组 密码 算法 是 提供 数据 安全 的 一 个 基本 构件 。 分 组 密码 是 针对 固定 大 小 的 分 组 进行 
加 密 的 。 例 如 ,DES 是 对 64 位 的 明文 分 组 进行 加 密 ,AES 是 对 128 位 分 组 操作 。 但 需要 保 
密 传输 的 消息 不 一 定 刚好 是 一 个 分 组 大 小 ,为 了 在 实际 中 应 用 分 组 密码 ,我 们 定义 了 5 种 工 
作 模 式 。 任 何 一 种 对 称 分 组 密码 算法 都 可 以 以 这 些 方式 进行 应 用 。 


3.10.1 电子 密码 本 模式 


了 Pp Py 
电子 密码 本 (Electronic Code Book, ECB) | | | 

模式 是 分 组 密码 的 基本 工作 方式 , 它 将 明文 .| 加 密 ] K 一 | 加 密 | .… KK [| 力 密 
分 割 成 独立 大 小 的 分 组 5, 最 后 一 组 在 必要 时 | | | 
需要 填充 ,一 次 处 理 b 位 的 明文 ,每 次 使 用 相 Ci Cs Cy 
同 的 密 钥 加 密 , 如 图 3. 46 所 示 。 由 于 任意 6 (a) 加 密 
位 的 明文 ,只 有 唯一 的 密 文 与 之 对 应 ,就 像 密 a 2 Cw 
码 本 一 样 可 以 查 到 对 应 的 密 文 ,因此 称 为 电 二 出 Wo 二 
子 密码 本 模式 。ECB 对 每 组 进行 加 密 , 加 密 ] ] 
后 将 各 组 密 文 合并 成 密 文 消息 。 在 图 3. 46 有 
中 ,明文 被 分 割 成 大 小 为 6 位 的 一 串 分 组 , 记 为 四 解密 


P,P ,… ,Py,， 对 应 的 密 文 为 Cl ,Co ，… ,Cyn。 图 3.46 ”电子 密码 本 模式 
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在 ECB 模式 下 ,每 一 个 分 组 依次 独立 加 密 , 产 生 独 立 的 密 文 组 ,每 一 分 组 的 加 密 结 果 均 
不 受 其 他 分 组 的 影响 。 因 此 使 用 此 种 方式 ,可 以 利用 并 行 处 理 来 加 速 加 密 运 算 或 解密 运算 ， 
并 且 在 传输 时 任意 一 个 分 组 发 生 错 误 , 不 会 影响 其 他 分 组 ,这 是 该 模式 的 一 个 优点 。 但 是 ， 
相同 的 明文 组 将 产生 相同 的 密 文 组 ,这 样 就 会 泄露 明文 的 数据 模式 。 在 计算 机 系统 中 ,许多 
数据 都 具有 固有 的 模式 ,这 主要 是 由 数据 结构 和 数据 元 余 引 起 的 。 但 如 果 同 一 明文 分 组 在 
消息 中 反复 出 现 , 产 生 的 密 文 分 组 就 会 相同 ,因此 ,用 于 长 消息 时 可 能 不 够 安全 。 如 果 消 息 
有 固定 的 结构 ,密码 分 析 者 就 有 可 能 会 利用 这 种 规律 。 例 如 ,如 果 已 知 消息 总 是 以 某 个 事先 
规定 的 字段 开始 ,那么 分 析 者 就 有 可 能 会 得 到 许多 明文 - 密 文 对 。 如 果 消 息 有 重复 的 成 分 ， 
而 重复 的 周期 是 45 位 的 倍数 ,那么 这 些 成 分 都 有 可 能 会 被 密码 分 析 者 识别 出 来 。 因 此 ECB 
模式 特别 适合 短 数据 (如 加 密 密 钥 ) 。 


3.10.2 密码 分 组 链接 模式 


为 了 克服 ECB 的 缺陷 ,人 们 希望 设计 一 种 方案 使 同一 明文 分 组 重复 出 现时 产生 的 密 文 
分 组 不 同 。 一 种 简单 的 方案 就 是 使 用 密码 分 组 链接 (Cipher Block Chaining,CBC) 模式, 如 
图 3. 47 所 示 。 这 种 模式 和 ECB 模式 一 样 ,也 iv ? 户 Py 

要 将 明文 分 成 2 位 的 一 串 分 组 ,最 后 一 组 不 足 

5 位 要 进行 填充 。 但 是 CBC 将 这 些 分 组 链接 

在 一 起 进行 加 密 操作 ,加 密 输入 是 当前 明文 KL 加 密 


，K 一 =| 加 密 


分 组 和 前 一 密 文 分 组 的 异 或 ,它们 形成 一 条 | 
链 , 每 次 加 密使 用 相同 的 密 钥 ,每 个 明文 分 组 Cx 
的 加 密 函 数 输入 与 明文 分 组 之 间 不 再 有 固定 ee 
的 关系 ,所 以 明文 分 组 的 数据 模式 不 会 在 密 文 | 
中 暴露 。 "上 一 | 解密 
在 加 密 时 ,最 开始 一 个 分 组 先 和 一 个 初 “下 
始 向 量 (Initialization Vector,IV ) 进行 异 或 ， 
然后 再 用 密 钥 加 密 , 每 一 个 分 组 的 加 密 结果 n ? Py 


四 解密 
3.47 密码 分 组 链接 模式 


均 会 受到 前 面 所 有 分 组 的 影响 ,所 以 即使 在 
明文 中 出 现 多 次 相同 的 明文 ,也 会 产生 不 同 
的 密 文 。 对 每 一 个 分 组 加 密 可 以 表示 为 : 
Ci = Ex(Pi® Ci1) 
C=1IV 
解密 时 ,将 第 一 块 密 文 解密 结果 与 IV 异 或 可 恢复 第 一 块 明文 。 其 他 的 每 一 个 密 文 分 
组 被 解密 后 ,再 与 前 一 个 密 文 分 组 异 或 来 产生 出 明文 分 组 , 即 : 
DiLCi] @® Cr = DiLErLP:@ Ci 四 Cr = POCN@ C= P: 
由 于 CBC 模式 的 链接 机 制 ,可 以 避免 像 ECB 模式 下 的 那 种 明文 数据 模式 的 泄露 。 并 
且 它 对 加 密 大 于 位 的 明文 非常 合适 。CBC 模式 除了 能 够 获得 保密 性 外 ,还 能 用 于 认证 ， 
可 以 识别 攻击 者 在 密 文 传输 中 是 否 做 了 数据 自 改 ,比如 分 组 的 重 放 、 插 入 和 删除 等 。 但 
CBC 模式 同时 也 会 导致 错误 传播 , 密 文 传输 中 任何 一 组 发 生 错误 不 仅 会 影响 该 分 组 的 正确 
解密 ,也 会 影响 其 下 一 分 组 的 正确 解密 。 该 加 密 模式 的 另 一 个 缺点 是 不 能 实时 解密 ,也 就 是 
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说 ,必须 等 到 每 个 0 位 都 被 接收 到 之 后 才能 开始 加 密 , 和 否则 就 不 能 得 到 正确 的 结果 。 

IV 对 于 收发 双方 都 应 是 已 知 的 。 为 提高 安全 性 ,IV 应 像 密 钥 一 样 被 保护 。 保 护 IV 的 
原因 如 下 : 如 果 攻 击 者 能 欺骗 接收 方 使 用 不 同 的 IV 值 ,攻击 者 就 能 够 在 第 一 个 明文 分 组 中 
改变 某 些 选 定 的 数据 位 ,这 是 因为 : 

C= Er(IV® P,) 
Pi = 1V®D,[LC] 
用 X(CD 表 示 分 组 0 位 X 的 第 i 位 ,那么 Pi1(i)==IV(i)@ Di[C1](i), 由 异 或 的 性 质 , 有 : 
PCD = IVG)’ @D[LC1) 
其 中 撤 号 表示 取 反 。 上 式 意味 着 如 果 攻 击 者 算 改 IV 中 的 某 些 位 , 则 接收 方 收 到 的 Pi 中 相 
应 的 位 也 会 发 生变 化 。 


3.10.3 密码 反馈 模式 


如 果 需 要 将 加 密 的 明文 必须 按照 一 个 字 节 或 者 一 位 进行 处 理 , 就 可 以 采用 密码 反馈 
(Cipher Feed Back,CFB) 模 式 或 者 输出 反馈 (Output Feed Back,OFB) 模 式 。 这 两 种 模式 
实际 上 是 将 分 组 密码 转换 为 流 密 码 , 流 密码 不 需要 明文 长 度 是 分 组 长 度 的 整数 倍 , 且 可 以 实 
时 操作 。 比 较 适 合 多 媒体 数据 加 密 ,每 一 个 字 节 (或 者 一 位 ) 加 密 后 可 以 立即 发 送 ,接送 方 也 
可 以 立即 解密 。 

图 3. 48 是 密码 反馈 模式 ,假设 它 的 输出 是 ;位 ,s 位 的 大 小 可 以 是 1 位 .8 位 .64 位 或 者 
其 他 大 小 ,表示 为 CFB-1、CFB-8 和 CFB-64 等 。 因 此 密码 反馈 模式 可 以 将 分 组 密码 转换 成 
流 密码 。 在 加 密 时 ,用 密 钥 K 加 密 大 小 5 位 移 位 寄存 器 中 的 数据 (其 大 小 是 该 密码 算法 加 
密 的 明文 分 组 长 度 。 例 如 , 若 使 用 DES 加 密 , 则 大 小 为 64 位 ; 若 使 用 AES 加 密 , 大 小 为 
128 位 )。 移 位 寄存 器 的 初始 值 为 某 个 初始 向 量 IV。 加 密 后 输出 的 最 左边 * 位 与 明文 的 P 
(Pi 与 s 的 大 小 相同 ) 异 或 ,产生 出 第 一 个 密 文 单元 Ci ,并 将 Ci 单元 传输 出 去 。 然 后 将 移 位 
寄存 器 中 的 内 容 左 移 ;位 ,并 将 C1 送 入 移 位 寄存 器 的 最 右边 * 位 。 就 这 样 持续 进行 ,直到 
明文 的 所 有 单元 都 被 加 密 为 止 。 

在 解密 时 ,除了 将 收 到 的 密 文 单元 与 加 密 函 数 的 输出 进行 异 或 以 产生 明文 单元 外 ,其 他 
与 加 密 采 用 相同 的 方案 。 注 意 这 里 使 用 的 是 加 密 函 数 而 不 是 解密 函数 。 如 假设 S.(X) 表 示 
X 的 最 左边 ;位 , 则 : 

C= P ©® S,(E(K,IV)) 
所 以 Pi=C1 @® S,(E(K.,IV)), 

下 面 以 DES 为 例 ,使 用 CFB-8 工作 模式 说 明 加 密 过 程 。 

(1) 加 密 : 加 密 函 数 的 输入 是 一 个 64 位 的 移 位 寄存 器 ,产生 初始 向 量 IV。 

(2) 对 移 位 寄存 器 64 位 的 数据 用 密 钥 进行 加 密 , 然 后 取 加 密 数 据 最 左边 的 8 位 与 输入 
的 明文 最 初 的 8 位 进行 异 或 操作 ,得 到 的 值 作为 8 位 密 文 单元 。 

(3) 这 8 比特 密 文 被 移 至 位 寄存 器 的 最 右 端 ,而 其 他 位 则 向 左 移动 8 位 ,最 左 端 8 比特 丢弃 。 

(4) 继续 加 密 , 与 第 2 段 明文 输入 异 或 ,如 此 重复 直到 所 有 明文 单元 都 完成 加 密 。 

有 一 点 必须 注意 ,这 里 的 明文 单元 P; 和 密 文 单元 C; 与 电子 密码 本 模式 和 密码 分 组 链 
接 模 式 中 的 含义 不 一 样 。 我 们 以 DES 为 例 说 明 这 个 问题 ,DES 中 分 组 长 度 是 64 位 (在 本 书 
中 我 们 用 5 位 表示 )。 在 电子 密码 本 模式 和 密码 分 组 链接 模式 中 ,将 明文 分 割 成 一 个 64 位 
的 分 组 , 即 P; 的 大 小 ,加 密 后 输出 一 个 64 位 的 分 组 , 即 C; 的 大 小 。 在 密码 反馈 模式 中 , 移 
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位 寄存 器 的 大 小 是 64 位 ,加 密 后 选取 其 中 的 一 部 分 (大 小 可 以 是 1 位 、8 位 或 者 64 位 ) , 假 
设 我 们 选取 8 位 ,再 与 相同 大 小 的 明文 单元 P; 异 或 ,输出 相同 大 小 的 密 文 单元 C: ,显然 这 
时 已 和 Ci 的 大 小 是 8 位 ,而 不 是 64 位 。 

显然 密码 反馈 模式 具有 流 密码 的 优点 ,也 拥有 CBC 模式 的 优点 。 但 是 它 也 拥有 CBC 
模式 的 缺点 , 即 也 会 导致 错误 传播 。 明 文 的 一 个 错误 会 影响 所 有 后 面 的 密 文 以 及 在 解密 过 
程 中 的 逆 。 另 外 密码 反馈 模式 会 降低 数据 加 密 速 度 。 由 于 无 论 每 次 输出 多 少 位 ,都 需要 事 
先 用 密 钥 K 加 密 一 次 ,再 与 相等 的 明文 位 异 或 ,所 以 即使 一 次 输出 为 1 位 ,也 要 经 过 相同 的 
过 程 , 这 就 降低 了 加 密 速 度 。 如 果 一 次 输出 密 文 单元 与 移 位 寄存 器 相同 的 大 小 ,那么 密码 反 
馈 模式 等 同 于 密码 分 组 链接 模式 。 


Iv | Cl 
移 位 寄存 器 移 位 寄存 器 移 位 寄存 器 
bs 位 |s 位 bs 位 |s 位 bs 位 |s 位 
K 一 =| 加 密 


1 Ss 
CO 
(a) 加 密 
IV [i 
i 移 人 村 存 器 
bs 位 ls 位 
b 
K 一 [| 加密 区 
Ss 
选择 丢弃 选择 ,丢弃 选择 丢弃 
5 位 “pbp-s 位 s 位 ls 位 s 位 ls 位 
5 
1 CI tO s i 
1 
2 Pu 


(b) 解密 
图 3.48 密码 反馈 模式 


3.10.4 输出 反馈 模式 


类 似 于 密码 反馈 模式 ,不同 之 处 在 于 输出 反馈 模式 (OFB) 是 将 加 密 算法 的 输出 反馈 到 
移 位 寄存 器 ,而 密码 反馈 模式 是 将 密 文 单元 反馈 到 移 位 寄存 器 ,如 图 3. 49 所 示 。 
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与 CFB 相 比 ,OFB 模式 的 优点 是 传输 过 程 中 的 位 错误 不 会 被 传播 。 但 是 相对 于 其 他 
模式 ,因为 数据 之 间 相 关 性 小 ,这 种 加 密 模式 是 相对 不 安全 的 。 如 这 种 模式 难于 检测 密 文 是 
否 被 自 改 。 如 果 在 密 文中 某 位 取 反 ,那么 在 恢复 后 的 明文 中 相应 位 也 取 反 。 因 此 攻击 者 有 
可 能 通过 对 数据 部 分 和 校 验 部 分 同时 进行 自 改 ,导致 纠 错 码 无 法 检测 。 所 以 在 应 用 的 时 候 
除非 特别 需要 ,一 般 不 提倡 应 用 OFB 模式 。 


iv Cr 
移 位 寄存 器 移 位 寄存 器 移 位 寄存 器 
b-s 位 |s 位 b-s 位 |s 位 b-s 位 js 位 
1 b 1 b 
K 一 一 | 加 密 KK 一 | 加密 en KK 一 | 加 密 
和 本 
选择 | 丢弃 选 ¥| 丢弃 选择 | 丢弃 
p 5 u b-s 位 ps 2 bs 位 py 3 b-s 位 
六 4 s 5 
1 1 
CI CG Cu 
(a) 加 密 
Iv | Ce 一 一 
移 位 寄存 器 移 位 寄存 器 移 位 寄存 器 
bs 位 |s 位 b-s 位 |s 位 bs 位 |s 位 
1 护 
K 一 一 加 密 一 一 | 加密 
T b 加 
弃 选择 丢弃 
5 位 _p-s 位 5 位 _p-s 位 
5 8 3 
CI Cu 
1 1 
hi Py 


(0) 解密 
图 3.49 输出 反馈 模式 


3.10.5 计数 器 模式 


计数 器 (Counter,CTR) 采 用 与 明文 分 组 相同 的 长 度 , 但 加 密 不 同 的 明文 组 ,计数 器 对 应 
的 值 不 同 。 计 数 器 首先 被 初始 化 为 一 个 值 ,然后 随 着 消息 块 的 增加 ,计数 器 的 值 依次 递增 
1。 计 数 器 加 1 后 与 明文 分 组 蜡 或 得 到 密 文 分 组 .解密 是 使 用 相同 的 计数 器 值 序列 ,用 加 密 
后 的 计数 器 的 值 与 密 文 分 组 异 或 来 恢复 明文 ,如 图 3. 50 所 示 。 

计数 器 模式 比较 适合 对 实时 性 和 速度 要 求 比较 高 的 场合 , 它 具 有 以 下 优点 。 

(1) 处 理 效率 : 由 于 下 一 块 数据 不 需要 前 一 块 数据 的 运算 结果 ,所 以 CTR 能 够 并 行 加 
密 (解密 )。 这 使 其 吞吐 量 可 以 大 大 提高 。 
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(2) 预 处 理 , 基本 加 密 算 法 的 执行 不 依赖 明文 或 者 密 文 的 输入 ,因此 可 以 事先 处 理 。 
这 样 可 以 极 大 地 提高 吞吐 量 。 

(3) 随机 访问 : 由 于 对 某 一 密 文 分 组 的 处 理 与 其 他 密 文 分 组 无 关 , 因 此 可 以 随机 地 对 
任意 一 个 密 文 分 组 进行 解密 处 理 。 

(4) 简单 性 : 计数 器 模式 只 要 求实 现 加 密 算法 ,而 不 要 求解 密 算 法 ,加 密 阶段 和 解密 阶 
段 都 使 用 相同 的 加 密 算法 。 


计数 器 计数 器 +1 计数 器 +Nr1 
1 1 
K 一 [加密 |] kK 一 [| 加密] 。… K 一 = 加密 
站 路 ~ 
1 
a Cs Cy 
(a) 加 密 
计数 器 we re. 
及 一 = 加密] KK 一 [加密] … 大 一 = 加密 
hI Pp Py 
(b) 解密 


3.50 计数 器 模式 


3.11 随机 数 的 产生 


随机 数 在 信息 安全 中 起 着 非常 重要 的 作用 。 在 很 多 场合 需要 用 到 随机 数 , 如 对 称 密码 
体制 中 密 钥 , 非 对 称 密码 体制 公 钥 以 及 用 于 认证 的 临时 交互 号 等 均 使 用 了 随机 数 。 安 全 的 
随机 数 应 该 满足 随机 性 和 不 可 预测 性 。 随 机 性 有 如 下 两 个 评价 标准 。 

。 分 布 一 致 性 : 随机 数 分 布 是 一 致 的 , 即 每 个 数 出 现 频率 大 约 相等 。 

。 独立 性 : 数据 序列 中 的 任何 数 不 能 由 其 他 数 导出 。 


一 般 来 说 ,数据 序列 是 否 满足 均匀 分 布 可 通过 检测 来 判断 ,而 是 否 满足 独立 性 则 是 无 法 
判断 的 。 但 却 有 很 多 检测 方法 能 证 明 数 据 序列 不 满足 独立 性 。 如 果 对 数据 序列 进行 足够 多 
次 数 的 检测 后 都 不 能 证 明 不 满足 独立 性 ,就 可 比较 有 把 握 地 相信 该 数据 序列 满足 独立 性 。 
对 产生 的 数据 序列 不 仅 要 求 其 具有 随机 性 而 且 要 求 其 具有 不 可 预测 性 , 即 根据 数据 序列 的 
一 部 分 不 能 推导 出 之 前 的 部 分 序列 ,也 不 能 预测 后 续 序 列 。 

一 般 说 来 ,产生 随机 数 的 方式 有 两 种 : 一 是 通过 一 个 确定 性 的 算法 ,由 数字 电路 或 是 软 
件 实现 ,把 一 个 初 值 扩展 成 一 个 长 的 序列 ; 二 是 选取 真实 世界 的 自然 随机 源 ,比如 热 噪 声 
等 。 由 前 一 种 方法 产生 的 序列 通常 被 称 为 伪 随 机 序列 ,而 后 者 通常 被 称 为 真 随机 序列 。 
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3.11.1 真 随机 数 发 生 器 


对 于 伪 随 机 序列 来 说 ,因为 使 用 的 是 确定 的 算法 ,有 一 定 的 规律 所 循 ,所 以 只 要 具备 足 
够 的 计算 能 力 , 总 能 进行 预测 。 能 否 产 生 真 正 的 随机 数 , 长 期 以 来 ,这 个 问题 一 直 都 处 于 激 
烈 的 争论 之 中 。 但 对 于 工程 应 用 来 说 ,只 要 产生 的 序列 具有 随机 统计 特性 ,并 且 不 可 再 现 ， 
就 可 以 被 称 为 真 随机 序列 。 设 计 一 个 真 随机 数 发 生 器 包括 两 步 : 第 1 步 是 获取 真 随机 源 ; 
第 2 步 是 利用 真 随机 源 依照 特定 的 数学 方法 获得 真 随机 数 。 真 随机 源 广泛 存在 于 现实 世界 
中 ,比如 计算 机 网 络 中 IP 包 到 达 的 时 间 、 随 机 噪音 .计算 机 当前 的 秒 级 时 钟 . 键 盘 反 应 时 间 、 
热 噪声 .操作 系统 的 进程 信息 、 光 量子 的 偏振 等 。 获 取 方 法 可 以 通过 调用 系统 函数 或 者 硬件 
电路 来 实现 。 利 用 真 随机 源 产 生 真 随机 数 的 方法 有 很 多 ,一 种 最 简单 的 方法 是 直接 利用 真 
随机 源 的 奇偶 特性 来 产生 0 和 1 序列 。 为 了 增加 序列 的 随机 性 ,往往 还 对 产生 的 0 和 1 序 
列 进行 一 系列 的 变换 ,比如 归 一 化 非 线性 映射 、 移 位 、 加 密 等 。 图 3. 51 是 通过 提取 电路 中 
的 热 噪 声 来 产生 随机 数 的 方法 。 该 方法 将 提取 的 热 噪声 进行 放大 ,输入 到 一 个 比较 器 ,与 固 
定 的 参考 电压 进行 比较 ,从 而 确定 输出 0、1 序列 。 图 3. 52 是 基于 自 激 振荡 器 频率 不 稳定 性 
的 真 随机 数 发 生 器 的 原理 示意 图 。 


比较 器 


和 豆 
+ 
中 


ea 位 流 输 出 
1 1 
| J 十 高 速 [WW TU LTL 
本 振 落 器 | 位 和 出 
| 1 CK 
E= 二 = 时 钟 PT 人 JILIUIL 

本 记 时 钟 

3.51 利用 热 噪声 的 随机 数 发 生 器 图 3.52 振荡 采样 随机 数 发 生 器 


3.11.2 伪 随 机 数 发 生 器 


在 理想 情况 下 ,密码 算法 和 协议 中 需要 的 秘密 数 应 该 用 一 个 真 随机 生成 器 来 产生 。 然 
而 ,在 大 多 数 实际 环境 中 , 真 随机 比特 的 生成 是 一 个 效率 较 低 的 过 程 ,并 且 安全 地 存储 和 传 
送 一 个 大 随机 数 也 是 不 切实 际 的 。 因 此 ,在 信息 安全 中 常常 用 伪 随 机 发 生 器 产生 伪 随 机 数 。 
这 些 随机 数 尽管 不 是 真正 的 随机 ,但 能 够 通过 许多 随机 测试 。 

1. 线性 同 余 法 

线性 同 余 (Linear Congruential) 法 是 一 种 广泛 使 用 的 伪 随 机 数 产生 方法 。 其 随机 数 序 
列 {X,} 可 通过 下 面 的 式 子 迭代 获得 : 

Xi 一 (aX,。 十 c) modm, n 宇 0 

其 中 : 

。X。 称 为 种 子 或 者 初始 值 ,并 且 0 寺 Xo<m; 

。 常数 闷 称 为 模 数 ,zz 二 0; 

。 常数 a 称 为 乘 子 .0 三 a 二 m; 

。 常数 c 称 为 增 量 ,0c<m。 
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当 c==0 时 ,该 算法 称 为 乘 同 余 法 ; 当 c 和 0 时 ,该 算法 称 为 混合 线性 同 余 法 。 
为 了 得 到 [0,1] 区 间 上 分 布 的 随机 数 ,可 以 令 : 

和 

其 中 R, 为 满足 要 求 的 随机 数 。 

ac 的 取 值 是 产生 高 质量 的 随机 数 的 关键 。 如 当 a=7,c==0,m 二 32, Xo 二 1 时 ,生成 
的 数 为 {1,7,17,23,1,7,…) ,该 数列 的 周期 为 4, 而 模 为 32 ,结果 不 能 令 人 满意 。 当 随机 数 
周期 达到 模 时 , 则 其 周期 称 为 满 周期 ,也 就 是 理论 上 的 最 大 周期 。 所 以 我 们 在 用 同 余 算 法 生 
成 随机 数 的 时 候 , 要 尽 可 能 地 使 周期 达到 满 周期 。 合 理 地 选择 a、c、m、X。, 可 以 使 重复 的 周 
期 充分 长 。 如 果 满 足下 面条 件 , 随 机 数 发 生 器 可 以 达到 满 周期 。 

(1)c 和 mm 互 素 。 

(2) 对 m 的 任何 一 个 素 因 子 p ,a 三 1 mod p。 

(3) 如 果 4 是 mm 的 因子 , 则 a 三 1 mod 4。 

对 于 上 面 的 条 件 , 这 些 参数 一 般 取 下 面 的 值 : m= 二 2 ,其 中 工 是 计算 机 中 存放 一 个 整 
数值 的 二 进 制 位 数 ( 称 为 整数 的 尾数 字 长 )。 这 种 方法 有 两 个 优点 : 一 是 mm 越 大 ,随机 数 
的 周期 就 可 能 越 大 ; 二 是 算法 上 利用 计算 机 的 整数 溢出 原理 ,可 简化 计算 。 其 他 的 参数 
取 值 为 : 

Q& 一 4a 十 1 
< 一 28 十 1 
其 中 a 和 8B 为 任意 正 整数 。 

线性 同 余 法 的 强度 取决 于 乘 子 和 模 数 的 选择 。 但 是 除了 初 值 zo 的 选取 具有 随机 性 外 ， 
算法 本 身 并 不 具有 随机 性 ,因为 选 定 ze 后 ,以 后 的 数 就 被 确定 性 地 产生 了 。 这 个 性 质 可 用 
于 对 该 算法 的 密码 分 析 ,如 果 攻 击 者 知道 正在 使 用 线性 同 余 算法 并 知道 算法 的 参数 , 则 一 旦 
获得 数列 的 一 个 数 ,就 可 得 到 以 后 的 所 有 数 。 甚 至 攻击 者 如 果 只 知道 正在 使 用 线性 同 余 算 
法 以 及 产生 的 数列 中 极 少 一 部 分 ,就 足以 确定 出 算法 的 参数 。 假 定 攻击 者 能 确定 zo .zi 、zs 
和 zs ,就 可 通过 以 下 方程 组 : 

Xi 一 (aX。 十 c) mod m 
X， = (aXi 十 c) modm 
Xs = (aX， 十 c) mod m 


解 出 a\c 和 1m。 

改进 的 方法 是 利用 系统 时 钟 修改 随机 数 数列 。 一 种 方法 是 每 当 产 生 N 个 数 后 ,就 利用 
当前 的 时 钟 值 模 mm 后 作为 新 种 子 。 另 一 种 方法 是 直接 将 当前 的 时 钟 值 加 到 每 个 随机 数 上 
再 对 m 取 模 。 

2. 非 线 性 同 余 法 

非 线 性 同 余 (Nonlinear Congruential) 法 的 随机 数 序列 {X,} 可 通过 下 面 的 式 子 迭代 
获得 : 

Xn = f(X,) modm, 7 二 0 


R, = 和 


m 
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其 中 ,X,E 2 一 {0,1,2,…,m 一 1}, 了 是 Z, 上 的 一 个 整数 函数 。 如 果 f(x) 二 ar 十 c, 则 变 
为 线性 同 余 。 在 非 线 性 同 余 法 中 的 f 通常 是 2Z,, 上 的 一 个 排列 多 项 式 。 
下 面 是 几 种 典型 的 非 线性 同 余 发 生 器 ,它们 的 区 别 主 要 是 f 函数 不 同 。 
1) 逆 同 余 发 生 器 
Xe = (aXs+b) modm, n 宇 0 
X, 
m 
其 中 ,X* 是 X, 关于 模 m 的 乘法 逆 预 元 。 
2) 二 次 同 余 发 生 器 
Xun = (aX2 十 bX。 十 c) modm, n 宇 0 
X, 


m 
其 中 ,ec 为 非 负 整数 ,上 且 天 0。 
3) BBS 发 生 器 
BBS(Blum Blum Shub) 发 生 器 是 由 Lenore Blum、Manuel Blum 和 Michae Shub 于 
1986 年 共同 提出 的 一 种 随机 数 发 生 器 ,其 递 推 公式 为 : 
Xn 一 Xemodm，7 二 0 
XXX 
m 
其 中 ,m= 二 pq,p 和 9 是 两 个 大 素数 , 且 p 夺 gq 三 3(mod 4), 选 择 随机 数 ;与 m 互 素 ,计算 初始 
值 Xe 一 sz mod m。 
BBS 发 生 器 最 大 的 特点 是 可 以 直接 计算 任意 一 个 XX, 的 值 : 
X, = (Xp Dd) mod m 
BBS 发 生 器 的 安全 性 很 好 ,并 且 通 过 了 几乎 所 有 的 理论 检验 ,但 其 运行 速度 较 慢 。 
4) 宕 同 余 发 生 器 
宕 同 余 发 生 器 是 BBS 发 生 器 的 推广 ,其 迭代 公式 为 : 
Xn = Xi modm, nn 之 0 
X 


m 
其 中 ,d 和 wm 为 正 整 数 。 一 个 重要 的 特殊 情形 是 m= 二 pq, 且 p 和 9g 为 两 个 大 素数 。 
5) 指数 同 余 发 生 器 
指数 同 余 发 生 器 的 迭代 公式 为 : 
Kn 一 go modm, n 宇 0 
X, 


m 


其 中 ,g 和 wm 为 正 整数 。 一 个 重要 的 特殊 情形 是 m 为 一 个 大 素数 。 
3. 混沌 随机 数 发 生 器 


在 混沌 区 的 数据 具有 两 个 显著 的 特性 : 迭代 不 重复 性 和 初 值 敏感 性 。 如 果 选 定 一 个 选 
代 方 程 和 适当 的 系数 ,方程 将 进行 无 限制 不 循环 地 迭代 。 下 式 是 混合 光学 双 稳 模型 的 迭代 


R, = 
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方程 : 
Xn = Asin: (X, — Xs) 
A 和 Xs 是 方程 的 系数 , 当 A 二 4, Xs 二 2.5 时 方程 处 于 混沌 状态 。 根 据 该 方程 生成 混 
沌 序列 {X;) ,可 以 获得 不 同 0 和 1 序列 S;。 
2 
= 如 果 X; 之 了 A 


0， 其 他 情况 
4. 用 密码 学 的 方法 产生 随机 数 
单 向 函数 可 以 用 于 产生 伪 随 机 数 ,方法 是 首先 选取 随机 种 子 *, 然 后 再 将 函数 应 用 于 序 
列 s,s 十 1,5 十 2,… ,进而 输出 序列 FGs), FGs 十 1),FGs 十 2),…。 该 单 向 函数 可 以 是 hash 函 
数 ( 如 SHA-1) ,或 者 是 对 称 分 组 密码 (如 DES) 。 


1) 循环 加 密 

循环 加 密 是 一 种 非常 简单 的 随机 数 产 生 方 法 ,如 周期 为 N 的 
图 3. 53 所 示 。 它 用 一 个 种 子 密 钥 循环 加 密 计数 器 ,从 而 计数 器 
产生 一 个 随机 序列 。 计 数 器 的 周期 为 N。 如 要 产生 56 
位 的 DES 密 钥 , 可 以 用 一 个 周期 为 28 的 计数 器 ,每 产生 | 


一 个 密 钥 , 计 数 器 的 值 增加 1, 那么 这 种 方法 产生 的 伪 随 
机 序列 是 全 周期 的 ,所 有 的 输出 序列 都 是 由 不 同 的 计数 。 种 从 办 加 密 


值 而 来 ,所 以 它们 互 不 相同 。 由 于 种 子 密 钥 是 保密 的 ,所 3 

以 由 生成 的 随机 数 不 能 推出 后 续 的 随机 数 。 有 时 为 了 增 ee 
加 强度 ,可 以 用 一 个 全 周期 的 伪 随 机 数 发 生 器 来 代替 简 ， 

单 的 计数 器 。 图 3.53 由 计数 器 生成 伪 随 机 数 


2) ANSI X9. 17 随机 数 生 成 器 
ANSI X9.17 基于 3DES 随机 数 生成 标准 ,如 图 3. 54 所 示 。 


Ki 和 K; 
DT -二 =| EDE 
=| EDE | rt, 
1 
WD —=|EDE 
R, 


图 3.54 ANSI X9.17 伪 随机 数 生成 器 


图 3. 54 中 的 符号 含义 如 下 。 

。 EDE: 表示 用 两 个 密码 加 密 的 三 重 DES, 即 加 密 - 解 密 - 加 密 。 

。 DT;: 第 i 轮 的 初始 日 期 和 时 间 。 

。V;: 第 i 轮 的 初始 种 子 值 .Vi 表示 第 i 轮 产生 的 新 种 子 ,并 作为 第 i 二 1 轮 的 种 子 。 
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。 Ri: 第 i 轮 的 所 产生 的 伪 随 机 数 。 
。 K, 和 K;,: DES 所 使 用 的 密 钥 。 


ANSI X9. 17 伪 随 机 数 生成 器 采用 的 输入 是 DT; 和 V;。DT; 是 一 个 64 位 数 ,代表 当前 
的 日 期 和 时 间 , 每 产生 一 个 伪 随 机 数 它 均 要 改变 。V; 是 种 子 值 , 可 以 是 任意 的 64 位 数 ,并 
在 随机 数 生 成 过 程 中 被 更 新 。 从 图 3. 54 中 很 容易 得 到 随机 数 序列 和 下 一 轮 的 种 子 。 
R; = EDEtx ,gj(CV;@ EDErr, .xr,1 (DT,)) 
Vin = EDErr, .r,1(Ri® EDErr, .x (DT)) 
其 中 EDErx,,xr,I(X) 表 示 使 用 两 个 密 钥 K 和 K; 的 三 重 DES 加 密 X。 


3.12 对称 密码 的 密 钥 分 配 


3.12.1 密 钥 分 配 基本 方法 


对 称 密码 体制 要 求 双方 共享 一 个 共同 的 密 钥 ,并且 为 防止 攻击 者 得 到 密 钥 ,还 必须 时 常 
更 新 密 钥 。 通 常安 全 系统 存在 的 问题 是 出 在 密 钥 分 配 (Key Distribution) 上。 如 何 安 全 地 
分 发 这 个 密 钥 是 对 称 密码 体制 的 核心 问题 。 在 两 个 用 户 ( 主 机 、 进 程 .应 用 程序 ) A 和 B 之 
间 分 配 密 钥 的 方法 有 以 下 几 种 。 

(1) 密 钥 由 A 选取 ,并 通过 物理 手段 交 给 B。 

(2) 密 钥 由 第 三 方 选取 ,并 由 第 三 方 通过 物理 手段 交 给 A 和 B。 

(3) 如 果 A 和 了 事先 已 有 一 密 钥 , 则 其 中 一 方 选取 新 密 钥 后 ,用 已 有 的 密 钥 加 密 新 密 
钥 并 发 送 给 另 一 方 。 

(4) 如 果 A 和 B 与 可 信 的 第 三 方 C 分别 有 一 保密 通道 , 则 C 为 A 和 B 选 取 密 钥 后 ,分 
别 在 两 个 保密 信道 上 发 送 给 A 和 B。 

前 两 种 方法 称 为 人 工 发 送 。 在 通信 和 网 中 , 若 只 有 个 别 用 户 想 进行 保密 通信 , 密 钥 的 人 工 
发 送 还 是 可 行 的 。 然 而 如 果 所 有 用 户 都 要 求 支持 加 密 服 务 , 则 任意 一 对 希望 通信 的 用 户 都 
必须 有 一 共享 密 钥 。 如 果 有 个 用 户 , 则 密 钥 数目 为 n(n 一 1)/2。 因 此 当 n 很 大 时 , 密 钥 分 
配 的 代价 非常 大 ,如 当 有 1000 个 结 点 时 ,需要 多 达 500 000 个 密 钥 ,如 果 加 密 在 应 用 层 , 则 
每 个 用 户 或 者 进程 都 需要 一 个 密 钥 ,那么 密 钥 分 配 任务 则 更 重 。 

对 于 第 (3) 种 方法 ,攻击 者 一 旦 获得 一 个 密 钥 就 可 获取 以 后 所 有 的 密 钥 ,而 且 用 这 种 方 
法 为 所 有 用 户 分 配 初始 密 钥 时 ,代价 仍然 很 大 。 

第 (4) 种 方法 比较 常用 ,其 中 的 第 三 方 通常 是 一 个 负责 为 用 户 分 配 密 钥 的 密 钥 分 配 中 心 
(Key Distribution Center,KDC) 。 这 时 每 一 用 户 必须 和 密 钥 分 配 中 心 有 一 个 共享 密 钥 , 称 
为 主 密 钥 (Master Key) 。 通 过 主 密 钥 分 配给 一 对 用 户 的 密 钥 称 为 会 话 密 钥 (Session Key)， 
用 于 这 一 对 用 户 之 间 的 保密 通信 。 通 信 完 成 后 ,会 话 密 钥 即 被 销毁 。 如 上 所 述 , 如 果 用 户 数 
为 n, 则 会 话 密 钥 数 为 n(n 一 1)/2。 但 主 密 钥 数 却 只 需 n 个 ,所 以 主 密 钥 可 通过 物理 手段 发 送 。 

一 个 完整 的 密 钥 分 配方 案 需 要 完成 两 个 功能 : 一 是 将 密 钥 分 发 给 双方 ; 二 是 双方 互相 
认证 ,确保 密 钥 一 定 只 给 了 双方 。 图 3. 55 是 一 个 典型 的 密 钥 分 配 过 程 。 由 密 钥 分 配 中 心 
(KDC) 产 生 会 话 钥 ,然后 分 发 给 A 和 B。 图 3. 55 中 字符 的 含义 如 下 。 
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。 K。 和 K; 分 别 是 A 和 B 各 自 拥有 与 KDC 共享 的 主 密 钥 。 

。K, 是 分 配给 A 和 B 的 一 次 性 会 话 钥 。 

。 Ni 和 Ns 是 临时 交互 号 (Nonces) ,可 以 是 时 间 戳 .计数 器 或 随机 数 , 主要 用 于 防止 
重 放 攻 击 。 

。 IDA 和 IDs 分 别 是 A 和 B 的 身份 标识 (例如 A 和 B 的 网 络 地 址 )。 

。 f(N;) 是 对 Ns 的 某 种 变换 (例如 将 N。 加 1) 函 数 ,目的 是 认证 。 

。 | 表示 连接 符 , 如 IDA 上 IDs | N 表示 同时 传送 了 IDA .IDa 和 Ni 。 


密 钥 分 配 
中 心 
BlIN 


(2) Exs[AdIIDAIIIDalINIExsCKsIDA)] 


密 钥 分 发 《7 
步 允 


(3) Exs[KsllIDA] 


响应 者 B 


认证 Pee 
步骤 
图 3.55 密 钥 分 配 过程 

A 和 B 之 间 的 会 话 密 钥 是 通过 以 下 几 步 来 完成 的 。 

(1) A 向 KDC 发 出 会 话 密 钥 请 求 。 表 示 请 求 的 消息 由 两 个 数据 项 组 成 ,第 1 项 是 A 和 
了 的 身份 IDA 和 IDa ,第 2 项 是 这 一 步骤 的 唯一 识别 符 Ni , 称 为 临时 交互 号 。 每 次 请 求 所 用 
的 都 应 不 同 , 且 为 防止 假冒 ,应 使 攻击 者 难以 猜测 。 因 此 用 随机 数 作为 这 个 识别 符 最 为 合 
适 。 使 用 临时 交互 号 的 目的 是 防止 重 放 攻击 。 

(2) KDC 为 A 的 请 求 发 出 应 答 。 应 答 是 用 A 和 KDC 的 共享 的 主 密 钥 天。 加 密 ,因此 
只 有 A 才能 成 功 地 对 这 一 消息 解密 ,并 且 A 可 相信 这 一 消息 的 确 是 由 KDC 发 出 的 。 消 息 
中 包括 给 A 的 两 项 内 容 : 

。 一 次 性 会 话 密 钥 K,。 

。 人 A 在 第 (1) 步 中 发 出 的 请 求 ,包括 一 次 性 随机 数 Ni ,目的 是 使 A 将 收 到 的 应 答 与 发 

出 的 请 求 相 比 较 , 看 是 否 匹 配 。 这 样 A 能 验证 自己 发 出 的 请 求 在 被 KDC 收 到 之 
前 ,是 否 被 他 人 算 改 。 而且 A 可 以 确定 收 到 的 这 个 消息 是 否 是 对 它 请 求 的 响应 ,而 
不 是 对 以 前 消息 的 重 放 。 

此 外 ,该 消息 中 还 有 给 B 的 两 项 内 容 : 

， 一 次 性 会 活 密 钥 K.。 

。 A 的 身份 IDA。 

这 两 项 由 B 和 KDC 的 共享 的 主 密 钥 K; 加 密 , 将 由 A 转发 给 B, 以 建立 A 和 B 之 间 的 
连接 ,并 用 于 向 B 证 明 A 的 身份 。 

(3) A 存储 会 话 密 钥 备用 ,并 向 B 转发 Ex, LK, | IDA]。 因 为 转发 的 是 由 K。 加 密 后 的 
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密 文 ,所 以 转发 过 程 不 会 被 窃听 。B 收 到 后 .可 得 会 话 密 钥 开 ., 并 且 可 知 另 一 方 是 A, 还 从 
Ks 知道 K, 的 确 来 自 KDC。 

完成 这 一 步 后 ,会 话 密 钥 就 被 安全 地 分 配给 了 A 和 B。 下 面 需要 在 A 和 B 之 间 进 行 
认证 。 

(4) B 用 会 话 密 钥 Ks 加 密 另 一 个 临时 交互 号 N, ,并 将 加 密 结果 发 送 给 A。 

(5) A 以 f(N;) 作 为 对 B 的 应 答 , 其 中 f 是 对 NN 进行 某 种 变换 (例如 加 1) 的 函数 ,并 
将 应 答 用 会 话 密 钥 加 密 后 发 送 给 B。 注 意 一 点 ,如 果 不 将 N, 进行 某 种 变换 ,直接 以 N, 作 
为 应 答 , 则 会 存在 重 放 攻击 。 

这 两 步 可 使 B 相信 第 (3) 步 收 到 的 消息 不 是 一 个 重 放 。 并 且 双 方 进行 了 认证 。 

第 (4) 和 第 (5) 步 是 典型 挑战 /应 答 (Challenge/ Response) 认 证 方式 。 假 设 A 期 望 从 B 
获得 一 个 新 消息 ,首先 发 给 B 一 个 临时 值 (Challenge), 并 要 求 后 续 从 B 收 到 的 消息 
(Response) 中 正确 地 包含 这 个 临时 值 。 


3.12.2 密 钥 的 分 层 控制 


在 网 络 中 ,如 果 用 户 数目 非常 多 而 且 分 布 的 地 域 非常 广 ,一 个 KDC 就 无 法 承担 为 用 户 
分 配 密 钥 的 重任 。 问 题 的 解决 方法 是 使 用 多 个 KDC 的 分 层 结 构 。 例 如 ,在 每 个 小 范围 (如 
一 个 LAN 或 一 个 建筑 物 ) 内 ,都 建立 一 个 本 地 KDC。 同 一 范围 的 用 户 在 进行 保密 通信 时 ， 
由 本 地 KDC 为 他 们 分 配 密 钥 。 如 果 两 个 不 同 范围 的 用 户 想 获得 共享 密 钥 , 则 可 通过 各 自 
的 本 地 KDC ,而 两 个 本 地 KDC 的 沟通 又 需 经 过 一 个 全 局 KDC。 这 样 就 建立 了 两 层 KDC。 
类 似 地 ,根据 网 络 中 用 户 的 数目 及 分 布 的 地 域 , 可 建立 三 层 或 多 层 KDC。 

分 层 结构 可 减少 主 密 钥 的 分 布 , 因 为 大 多 数 主 密 钥 是 在 本 地 KDC 和 本 地 用 户 之 间 共 享 。 
此 外 ,如 果 一 个 本 地 KDC 出 错 或 者 被 攻击 , 则 危害 只 限制 在 一 个 局 部 区 域 , 而 不 会 影响 全 局 。 


3.12.3 会话 密 钥 的 有 效 期 


会 话 密 钥 更 换 得 越 频 繁 ,系统 的 安全 性 就 越 高 。 因 为 攻击 者 即使 获得 一 个 会 话 密 钥 ,也 
只 能 获得 很 少 的 密 文 。 但 另 一 方面 ,会 话 密 钥 更 换 得 太 频 繁 ,又 将 延迟 用 户 之 间 的 交换 , 同 
时 还 会 造成 网 络 负担 。 所 以 在 决定 会 话 密 钥 的 有 效 期 时 ,应 权衡 这 两 个 方面 。 

对 于 面向 连接 的 协议 ,在 连接 未 建立 前 或 断 开 时 ,会 话 密 钥 的 有 效 期 可 以 很 长 。 而 每 次 
建立 连接 时 ,都 应 使 用 新 的 会 话 密 钥 。 如 果 人 逻辑 连接 的 时 间 很 长 , 则 应 定期 更 换 会 话 密 钥 。 

对 于 无 连接 协议 (如 面向 交易 的 协议 ) ,无 法 明确 地 决定 更 换 密 钥 的 频率 。 为 安全 起 见 ， 
用 户 每 进行 一 次 交换 ,都 用 新 的 会 话 密 钥 。 然 而 这 又 失去 了 无 连接 协议 的 主要 优势 ,如 延 时 
了 交易 时 间 ,每 个 交易 都 希望 用 最 少 的 费用 和 最 短 的 延迟 。 比 较 好 的 方案 是 在 某 一 个 固定 
周期 内 或 者 交易 一 定量 内 使 用 同一 会 话 密 钥 。 


3.12.4 无 中 心 的 密 钥 分 配 


用 密 钥 分 配 中 心 (第 三 方 ) 为 用 户 分 配 密 钥 时 ,要 求 所 有 用 户 都 信任 KDC, 同 时 还 要 求 
对 KDC 加 以 保护 。 如 果 密 钥 的 分 配 没 有 这 个 中 心 , 则 不 必 有 以 上 两 个 要 求 。 在 下 面 的 分 
配方 案 中 ,每 个 用 户 事 先 和 其 他 用 户 之 间 存 在 一 个 主 密 钥 ,然后 使 用 这 些 主 密 钥 产生 会 话 
钥 。 如 果 网 络 中 有 个 用 户 , 则 需 有 n(n 一 1)/2 个 主 密 钥 。 当 很 大 时 ,整个 网 络 中 的 主 密 
钥 很 多 ,但 每 个 结 点 最 多 只 保存 n 一 1 个 主 密 钥 ,用 这 些 主 密 钥 可 以 产生 很 多 会 话 钥 。 
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图 3. 56 是 一 个 无 中 心 的 密 钥 分 配 过 程 。 
(CDIDAIIIDalN， 


(2) EMks[RslIIDAlIIDelACNOIN5I 
G) ExL7CV)] 
图 3.56 无 中 心 的 密 钥 分 配 过 程 


两 个 用 户 A 和 也 建立 会 话 密 钥 需 经 以 下 3 个 步 又。 

(1) A 向 B 发 出 建立 会 话 密 钥 的 请 求 ,包括 A 和 B 的 身份 标识 和 临时 交互 号 Ni 。 

(2) B 用 与 A 共享 的 主 密 钥 MK。 对 应 答 的 消息 加 密 , 并 发 送 给 A。 应 答 的 消息 中 包括 
选取 的 会 话 密 钥 K,、B 的 身份 标识 .FCNi ) 和 另 一 个 临时 交互 号 Na 。 

(3) A 使 用 新 建立 的 会 话 密 钥 K, 对 f(N;) 加 密 后 返回 给 B。 

以 上 过 程 也 完成 了 两 件 事 , 一 是 在 A 和 B 之 间 分 配 了 会 话 钥 ; 二 是 A 和 B 进 行 了 相互 
认证 。 在 过 程 1 和 过 程 2 中 ,挑战 (Challenge) 是 临时 交互 号 Ni, 应 答 (Response) 是 
了 (Ni) ,完成 了 A 对 B 的 认证 。 在 过 程 (2) 和 过 程 (3) 中 ,挑战 (Challenge) 是 临时 交互 号 
NN; ,应 答 (Response) 是 f(N;), 这 样 就 完成 了 B 对 A 的 认证 。 


3.13 关键 术语 


密码 学 (Cryptology) 

密码 编码 学 (Cryptography) 

密码 分 析 学 (Cryptanalysis) 

密码 分 析 者 (Cryptanalyst) 

明文 (Plaintext) 

加 密 (Encryption) 

密 文 (Ciphertext) 

解密 (Decryption) 

密码 (Cipher) 

密码 体制 (Cryptosystem) 

密 钥 (Key) 

分 组 密码 (Block Ciphers) 

流 密码 (Stream Ciphers) 

对 称 加 密 (Symmetric Encryption) 

穷 举 攻击 (Brute Force Search) 

唯 密 文 攻击 (Ciphertext-Only Attack) 
已 知 明文 攻击 (Known-Plaintext Attack) 
选择 明文 攻击 (Chosen-Plaintext Attack) 
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选择 密 文 攻 击 (Chosen-Ciphertext Attack) 
选择 文本 攻击 (Chosen Text Attack) 

绝对 安全 (Unconditional Security) 

计算 上 安全 (Computational Security) 

代 换 (Substitution) 

置换 (Permutation) 

单字 母 代 换 密码 (Monogram Substitution Cipher) 
多 字母 代 换 密码 (Polygram Substitution Cipher) 
单 表 代 换 密码 (Monoalphabetic Substitution Cipher) 
多 表 代 换 密码 (Polyalphabetic Substitution Cipher) 
代 换 密码 (Substitution Cipher) 

仿 射 密码 (Affine Cipher) 

置换 密码 (Permutation Cipher) 

扩散 (Diffusion) 

混淆 (Confusion) 

数据 加 密 标准 (Data Encryption Standard ,DES) 
高 级 加 密 标 准 (Advanced Encryption Standards,AES) 
同步 流 密码 (Synchronous Stream Cipher) 

自 同步 流 密码 (Self-Synchronous Stream Cipher) 
线性 同 余 (Linear Congruential) 

密 钥 分 配 (Key Distribution) 

主 密 钥 (Master Key) 

会 话 密 钥 (Session Key) 

密 钥 分 配 中 心 (Key Distribution Center,KDC) 


3.14 习题 3 


3.1 下 式 是 仿 射 密码 的 加 密 变 换 : 
< 一 (3 十 5) mod 26 
试 求 : 
(1) 该 密码 的 密 钥 空间 是 多 少 ? 
(2) 求 出 消息 hello 对 应 的 密 文 。 
(3) 写 出 它 的 解密 变换 。 
(4) 试 对 密 文 进行 解密 。 
3.2 用 Playfair 密码 加 密 下 面 的 消息 : 


ciphers using substitutions or transpositions are not secure because of language 
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characteristics。 密 钥 为 the playfair cipher was invented by Charles Wheatstone。 

3.3 ”假设 密 钥 为 encryption, 用 维 吉 尼 亚 密 码 加 密 消 息 symmetric schemes require 
both parties to share a common secret key。 

3.4 Hill 密码 不 能 抵抗 已 知 明文 攻击 ,如 果 有 足够 多 的 明文 和 密 文 对 ,就 能 破解 Hill 密码 。 

(1) 攻击 者 至 少 有 多 少 个 不 同 的 明文 - 密 文 对 才能 攻破 该 密码 ? 

(2) 描述 这 种 攻击 方案 。 

3.5 用 Hil 密码 加 密 消 息 hil, 密 钥 为 : 

11 8 
| 3 | 

并 写 出 从 密 文 恢复 明文 的 解密 过 程 。 

3.6 用 一 次 一 密 加 密 消 息 01011010101100111100010101010101011011110001010001 , 选 
定 的 密 钥 是 10010101011110101101000101000001111100100101010010 , 试 写 出 密 文 。 

3.7 使 用 DES 加 密 , 假 设 明 文 和 密 钥 都 为 (0123456789ABCDEF)1s 一 (00000001 
00100011 01000101 01100111 10001001 10101011 11001101 11101111);: 

(1) 推导 出 第 1 轮 的 子 密 钥 Ki。 

(2) 写 出 Re 和 了。。 

(3) 扩展 Ro。 并 计算 ECRo) Ki。 

(4) 将 第 (3) 问 的 结果 ,输入 到 8 个 S 盒 , 求 出 加 密 函 数 下 。 

(5) 推导 出 R 和 Li 。 

3.8 在 GF(2") 上 {01) 的 逆 是 什么 ? 并 验证 其 在 S 盒 中 的 输入 。 

3.9 假设 AES 的 State 矩阵 的 某 一 列 分 别 是 so 二 {87),s1 一 16E) ss 一 (46)，ss 
{A6)。 经 过 列 混淆 变换 后 ,si 一 {6E} 映 射 为 %i 一 (37} ,试验 证 这 一 结果 。 

3.10 采用 AES 加 密 , 密 钥 为 2B7E 15 16 28 AE D2 A6 AB F7 15 88 09 CF 4F 3C, 明 
文 为 32 43 F6 AD 88 5A 30 8D 3131 98 A2 E0 37 07 34。 

(1) 写 出 最 初 的 State 的 值 。 

(2) 写 出 密 钥 扩展 数组 中 的 前 8 个 字 节 。 

(3) 写 出 初始 轮 密 钥 加 后 State 的 值 。 

(4) 写 出 字 节 代 换 后 State 的 值 。 

(5) 写 出 行 移 位 后 的 State 的 值 。 

(6) 写 出 列 混淆 后 State 的 值 。 

3.11 习题 3. 10 的 明文 和 密 钥 不 变 , 采 用 SMS4 加 密 。 

(1) 求 出 第 1 轮 的 轮 密 钥 rk 。 

(2) 求 第 1 轮 加 密 后 的 明文 输出 是 什么 ? 

3.12 有 一 个 四 级 线性 移 位 寄存 器 的 反馈 函数 为 Fai ,az as ,ai) 一 a 名 as ,其 中 初 态 
为 (al ,az ,as ai) 一 (1000) , 求 其 输出 序列 的 前 12 位 。 

3. 13 ”假如 使 用 3 位 (0 一 7) 的 RC4, 其 操作 是 对 8 取 模 (而 不 是 对 256 取 模 ) , 密 钥 是 326 。 

(1) 求 初始 化 后 S 表 的 值 。 
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(2) 计算 第 1 个 密 钥 字 。 
(3) 用 上 面 生 成 的 密 钥 加 密 明 文 100101 。 


3. 


多 远 ? 


3. 
3. 16 
3. 

3. 18 


14 


15 


17 


在 8 位 CFB 模式 中 ,如 果 在 传输 中 一 个 密 文字 符 发 生 错 误 ,这 个 错误 将 被 传送 


编写 仿 射 密码 的 加 密 和 解密 程序 。 

写 一 个 程序 实现 维 吉 尼 亚 (Vigenere) 密 码 的 加 密 和 解密 。 
编程 实现 AES 算法 。 

编程 实现 线性 同 余 伪 随机 数 生成 算法 。 
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本 章 导读 

> 本 章 主 要 介绍 几 个 著名 的 公 钥 密码 算法 。 

> 公 铀 密码 算法 基于 数学 函数 (如 单 向 陷 门 函数 ) 而 不 是 基于 代 换 和 置换 。 

> 公 钥 密码 体制 也 称 非 对 称 密 码 体制 , 它 使 用 两 个 独立 的 密 钥 , 即 公 钥 和 私 钥 。 加 密 
和 解密 用 不 同 的 密 钥 。 

RSA 算法 是 非常 著名 的 公 角 密码 算法 。 它 的 安全 性 是 建立 在 大 合 数 的 质 因子 分 解 
问题 的 困难 性 上 。 

> ElGamal 算法 也 一 个 著名 的 公 钥 密码 算法 。 其 安全 性 是 依赖 于 计算 有 限 域 上 离散 
对 数 这 一 难题 。 

> 梢 圆 曲 线 密 码 是 性 能 很 高 的 公 钥 密码 算法 ,密码 应 用 中 所 使 用 的 两 类 椭圆 曲线 是 定 
义 在 素 域 Z。 上 的 素 曲线 和 在 GF(2") 上 构造 的 二 元 曲线 。 

> 公 钥 分 配 不 是 要 对 公 钥 进行 保密 ,而 是 要 保证 公 钥 的 真实 性 和 完整 性 。 使 用 公 钥 可 
以 很 方便 地 分 配对 称 密 钥 。 

> Diffie-Hellman 密 钥 交换 是 非常 著名 的 密 钥 交换 协议 。 会 话 钥 不 是 直接 传送 给 对 
方 ,而 是 双方 独立 计算 的 结果 。 


公 钥 密码 技术 是 为 了 解决 对 称 密码 技术 中 最 难 解决 的 两 个 问题 而 提出 的 。 第 1 个 问题 
是 对 称 密码 技术 的 密 钥 分 配 。 利 用 对 称 密码 进行 保密 通信 时 ,通信 的 双方 必须 首先 预约 持 
有 相同 的 密 钥 才能 进行 。 当 用 户 数量 很 大 时 ,互相 之 间 需 要 很 多 密 钥 ,并且 为 了 安全 起 见 ， 
应 当 经 常 更 换 密 钥 。 在 网 络 上 产生 ,存储 、 分 配 , 管 理 如 此 大 量 的 密 钥 ,其 复杂 性 和 危险 性 都 
是 很 大 的 。 第 2 个 问题 是 对 称 密码 不 能 实现 数字 签名 。 使 用 密码 技术 不 仅仅 是 为 了 保密 发 
送 的 消息 ,在 很 多 情况 下 需要 知道 该 消息 是 出 自 某 个 人 ,并 且 各 方 对 此 均 无 异议 ,这 类 似 于 
现实 生活 的 手写 签名 。 为 此 ,人 们 希望 能 设计 一 种 新 的 密码 ,从 根本 上 克服 传统 密码 在 密 钥 
管理 上 的 困难 ,而 且 容易 实现 数字 签名 ,能 够 适合 计算 机 网 络 环境 的 各 种 应 用 。 公 钥 密码 系 
统 的 出 现 正好 弥补 了 上 述 缺 陷 。Diffie 和 Hellman 于 1976 年 在 (密码 学 的 新 方向 ) 中 首次 
提出 了 公 钥 密码 的 观点 ,标志 着 人 们 对 公 钥 密码 学 研究 的 开始 。1977 年 由 Rviest、Shmair 
和 Adlmena 提出 了 第 1 个 比较 完善 的 公 钥 密码 算法 , 即 RSA 算法 。 从 那 时 候 起 ,人 们 基于 
不 同 的 计算 问题 提出 了 大 量 的 公 钥 密码 算法 。 


4.1 公 钥 密码 体制 


公 钥 密码 体制 (PublicKey Cryptosystem) 也 称 非 对 称 密 码 体制 (Asymmetric 
Cryptosystem) 或 者 双 钥 密码 体制 (Two-Key Cryptosystem)。 它 与 对 称 密码 体制 所 采用 的 
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技术 完全 不 同 , 公 钥 密 码 算法 基于 数学 函数 (如 单 向 陷 门 函数 ) 而 不 是 基于 代 换 和 置换 。 公 
钥 密码 是 非 对 称 的 , 它 使 用 两 个 独立 的 密 钥 , 即 公 钥 (Public Key) 和 私 钥 (Private Key)。 公 
钥 可 以 被 任何 人 知道 ,用 于 加 密 消息 以 及 验证 签名 ; 私 钥 仅仅 自己 知道 ,用 于 解密 消息 和 签 
名 。 加 密 和 解密 会 使 用 两 把 不 同 的 密 钥 , 因 此 称 为 非 对 称 。 显然 从 密码 算法 和 公 钥 不 能 推 
出 私 钥 。 还 有 一 些 算 法 具有 另 一 个 特点 : 在 这 两 个 独立 的 密 钥 中 ,任何 一 个 都 可 以 用 来 加 
密 , 另 一 个 用 来 解密 。 

一 个 公 钥 密码 体制 由 6 个 部 分 构成 : 明文 .加密 算法 、 公 钥 、 私 钥 、 密 文 和 解密 算法 。 可 
以 构成 两 种 基本 的 模型 : 加 密 模型 和 认证 模型 。 在 加 密 模型 中 ,发 送 方 用 接收 方 的 公 钥 作 
为 加 密 密 钥 ,用 接收 方 私 钥 作 为 解密 密 钥 ,由 于 该 私 钥 只 由 接收 方 拥 有 ,因此 即 只 有 接收 者 
才能 解密 密 文 得 到 明文 ,如 图 4.1 所 示 。 假 设 用 户 A 向 用 户 B 发 消息 M, 用 户 A 首先 用 用 
户 也 公开 的 公 钥 PUs 加 密 消息 M, 得 到 密 文 : 

C= Eru, (M) 

其 中 是 加 密 算法 ,然后 发 送 给 用 户 B。 用 户 B 用 自己 的 私 钥 PRs 解密 密 文 ,从 而 可 以 得 
到 明文 M 二 Drr, (C) ,其 中 D 是 解密 算法 。 由 于 只 有 B 知道 PRs, 所 以 其 他 人 不 能 解密 C。 

在 认证 模型 中 ,发送 方 用 自己 的 私 钥 对 消息 进行 变换 ,产生 签名 ,将 该 签名 发 送 给 接收 
方 。 接 收 者 用 发 送 者 的 公 钥 对 签名 进行 验证 以 确定 签名 是 否 有 效 。 只 有 拥有 私 钥 的 发 送 者 
才能 对 消息 产生 有 效 的 签名 ,任何 人 均 可 以 用 签名 人 的 公 钥 来 检验 该 签名 的 有 效 性 。 在 
图 4.2 中 ,用 户 A 首先 用 自己 的 私 钥 PRA 对 消息 M 加 密 , 加 密 后 的 消息 就 是 数字 签名 : 


C = Er (M) 
然后 将 C 传 给 用 户 B。 用 户 B 用 A 的 公 钥 PUA 验证 签名 , 即 解密 : 
M= Dru, (C) 


如 果 用 A 的 公 钥 PU 能 够 解密 ,说 明 该 消息 来 自 A, 因 为 只 有 A 才 有 这 个 公 钥 。 也 由 
于 其 他 人 没有 A 的 私 钥 , 所 以 任何 人 也 不 能 算 改 该 消息 。 


发 送 方 A 接收 方 B 
| m7 
加 解 
冰 四 加 -| 要 i 消 
昌 | 其 | 2 # M 电 
PRA PUA 
图 4.1 公 钥 加 密 模型 图 4.2 公 钥 认证 模型 


在 上 面 的 认证 的 模型 中 ,认证 是 对 发 送 方 的 整个 消息 进行 加 密 , 这 种 方法 可 以 验证 
发 送 方 和 消息 的 有 效 性 ,但 却 需要 大 量 的 储存 空间 。 实 际 的 做 法 是 先 对 消息 进行 一 个 函 
数 变换 ,将 消息 变换 成 一 个 小 数据 ,然后 再 对 小 数据 进行 签名 。 这 种 方法 将 在 后 面 的 章 
节 讨 论 。 

在 认证 模型 中 ,消息 没有 保密 ,任何 人 都 可 以 用 发 送 者 的 公 钥 解密 消息 。 如 果 综 合 加 密 
模型 和 认证 模型 , 则 将 同时 具有 保密 和 认证 功能 ,如 图 4. 3 所 示 。 
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发 送 方 A 先 用 自己 的 私 钥 PR 加 密 消 发 送 方 A 接收 方 B 
息 M, 用 于 提供 数字 签名 。 再 用 接收 方 了 B 的 站 个 
公 钥 PUs 加 密 , 表 示 为 : 消 -| 次 -| -家 - -| 消 
C = Epu, (Err, (M)) || 法 | 凌 | 5 法 | | 尘 IM| 
接收 方 B 在 解密 时 , 先 用 自己 的 私 钥 解 人 | au fe 
密 , 然 后 再 用 发 送 方 A 的 公 钥 解密 ,表示 为 : es a 
M = Deu (Dpr, (M)) PUA 


从 上 面 的 加 密 和 认证 模型 中 ,我 们 可 以 密 钥 源 
发 现 一 个 公 钥 密码 系统 应 该 满足 下 面 几 个 
要 求 。 

(1) 同一 算法 用 于 加 密 和 解密 ,但 加 密 和 解密 使 用 不 同 的 密 钥 。 

(2) 两 个 密 钥 中 的 任何 一 个 都 可 用 来 加 密 , 另 一 个 用 来 解密 ,加 密 和 解密 次 序 可 以 
交换 。 

(3) 产生 一 对 密 钥 ( 公 钥 和 私 钥 ) 在 计算 上 是 可 行 的 。 

(4) 已 知 公 钥 和 明文 ,产生 密 文 在 计算 上 是 容易 的 。 

(5) 接收 方 利 用 私 钥 来 解密 密 文 在 计算 上 是 可 行 的 。 

(6) 仅 根 据 密码 算法 和 公 钥 来 确定 私 钥 在 计算 上 是 不 可 行 的 。 

(7) 已 知 公 钥 和 密 文 , 在 不 知道 私 钥 的 情况 下 ,恢复 明文 在 计算 上 是 不 可 行 的 。 

上 面 几 个 要 求 的 实质 是 要 找 一 个 单 向 陷 门 函数 。 单 向 函数 在 第 2 章 中 已 经 作 了 详细 的 
介绍 。 它 指 计算 函数 值 是 容易 的 ,而 计算 函数 的 逆 是 不 可 行 的 。 陷 门 单 向 函数 则 存在 一 个 
附加 信息 , 当 不 知道 该 附加 信息 时 , 求 函 数 着 是 困难 的 ,但 当知 道 该 附加 信息 时 , 求 函 数 逆 就 
变 得 容易 了 。 陷 门 单 向 函数 在 附加 信息 未 知 时 是 单 向 函数 ,而 当 附 加 信息 已 知 时 ,就 不 再 是 
单 向 函数 了 。 通 常 把 附加 信息 称 为 陷 门 信息 ,将 陷 门 信息 作为 私 钥 , 公 钥 密 码 体 制 就 是 基于 
这 一 原理 而 设计 的 。 其 安全 强度 取决 于 它 所 依据 的 问题 的 计算 复杂 度 。 


图 4.3 公 钥 密码 体制 的 保密 和 认证 


4.2 公 钥 密码 分 析 


和 对 称 密码 体制 一 样 ,如 果 密 钥 太 短 , 公 钥 密 码 体制 也 易 受 到 穷 举 搜索 攻击 。 因 此 密 钥 
必须 足够 长 。 然 而 又 由 于 公 钥 密码 体制 所 使 用 的 可 逆 函 数 的 计算 复杂 性 与 密 钥 长 度 常 常 不 
是 线性 关系 ,而 是 比 线性 函数 增 大 更 快 函数 。 所 以 密 钥 长 度 太 大 又 会 使 得 加 密 和 解密 运算 
太 慢 而 不 实用 。 目 前 提出 的 公 钥 密码 体制 的 密 钥 长 度 已 经 足够 抵抗 穷 举 攻击 ,但 也 使 它 的 
加 密 和 解密 速度 变 慢 , 因 此 公 钥 密码 体制 一 般 用 于 加 密 小 数据 ,如 会 话 钥 , 目 前 主要 用 于 密 
钥 管理 和 数字 签字 。 

对 公 钥 密码 算法 的 第 二 种 攻击 就 是 从 公 钥 计算 出 私 钥 。 到 目前 为 止 ,还 没有 在 数学 上 
证 明 该 方法 不 可 行 。 

还 有 一 种 仅 适用 于 对 公 钥 密码 算法 的 攻击 法 , 称 为 穷 举 消息 攻击 。 由 于 公 钥 密 钥 算法 
常常 用 于 加 密 短 消息 ,只 要 穷 举 这 些 短 消 息 , 就 可 以 解密 消息 。 例 如 ,假设 用 公 钥 算法 加 密 
DES 的 56 位 密 钥 ,攻击 者 可 以 用 算法 的 公 钥 对 所 有 可 能 的 56 位 密 钥 加 密 , 再 与 截获 的 密 
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文 相 比较 。 如 果 一 样 , 则 相应 的 明文 即 DES 的 密 钥 。 因 此 不 管 公 钥 算法 的 密 钥 多 长 ,这 种 
攻击 的 本 质 是 对 56 位 DES 密 钥 的 穷 举 攻击 。 抵 抗 这 种 攻击 的 方法 是 在 欲 发 送 的 消息 后 添 
加 一 些 随机 位 。 


4.3 RSA 密码 


RSA 算法 是 1977 年 由 Rivest、Shamir 和 Adleman 提出 的 非常 著名 的 公 钥 密码 算法 。 
它 基 于 大 合 数 的 质 因 子 分 解 问题 的 困难 性 。RSA 算法 是 一 种 分 组 密码 ,明文 和 密 文 是 
0~n 一 1 之 间 的 整数 ,通常 n 的 大 小 为 1024 位 二 进 制 数 或 309 位 十 进 制 数 。 


4.3.1 算法 描述 


1. 密 钥 的 产生 
(1) 随机 选择 两 个 大 素数 p 和 9g。 
(2) 计算 n=pXg。 
(3) 计算 秘密 的 欧 拉 函 数 8(z) 一 (2 一 1)(q 一 1)。 
(4) 选择 e 使 得 1<e 一 p(7z) , 且 gcdCe,p(7D)) 一 1 。 
(5) 解 下 列 方程 求 出 d。 
ed 三 1 mod ¢(n), 且 0<d<n 
(6) 公开 公 钥 : PU= {e,N}。 
(7) 保存 私 钥 : PR={d,p,q)。 
2. 加 密 过 程 
加 密 时 明文 以 分 组 为 单位 进行 加 密 , 每 个 分 组 m 的 二 进 制 值 均 小 于 nn, 对 明文 分 组 m 
做 加 密 运算 : 
c=m modn, 有 8H OZm<=n 
3. 解密 过 程 
密 文 解密 m= 二 co? mod n 
4. 签名 过 程 
计算 签名 s==m” modn 
5. 签名 验证 过 程 
签名 验证 mm 二 s* mod n 
下 面 证 明 RSA 算法 解密 的 正确 性 。 


证 明 了 

c=m modn=m" modn=m"™™" modn=m?" modn 
下 面 分 两 种 情况 讨论 。 
(1) gcd(m,n) 二 1, 由 欧 拉 定 理 : 


180 = 1 modn 


有 ms 中 三 1 mod 7 zt 人 1 三 加 mod n 
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即 
cd mod n=m 

(2) gcd(m,n) 关 1, 由 于 nn 二 pq; 所 以 m 是 p 的 倍数 或 者 是 gq 的 倍数 。 假 设 冯 =cp,c 为 
小 于 g 的 正 整数 ,那么 必 有 gcd(m,g) 王 1, 否则 m 也 是 g 的 倍数 ,从 而 是 pg 的 倍数 ,与 
mm 二 n 三 pg 艺 盾 。 由 gcd(m,g) 二 1 和 欧 拉 定 理 得 : 

m”? =1 modg 

所 以 m** 史 二 1] mod g。 

又 因为 9(g) 二 p 一 1, 所 以 有 : 


mr v=1modg 
即 : 
mt Ve d=] modg 
m=1modg 


因此 存在 一 个 整数 ,使 得 mr 三 1 十 rg。 
两 边 同 乘 以 mw 二 cp 得 : 


( 
meP (DH 


=m 二 ren 即 matz2f =m modn 
所 以 cd mod mx 一 mm。 
例 4.1 选择 素数 : p 二 47 和 9=71。 
计算 "一 冯 一 47X71 王 3337,9p(72D) 一 (一 1)(9g 一 1) 一 46X70 一 3220。 
选择 e: 使 gcd(e,3220) 王 1, 选 取 e=79; 决定 d; de 三 1 mod 3220, 得 d= 二 1019。 
公开 公 钥 {79,3337} ,保存 私 钥 {1019,47,71) 。 
现 假设 消息 为 M 一 6882326879666683 ,进行 分 组 ,分 组 的 位 数 比 要 小 ,我 们 选取 Mi 一 
688,M,=232,M;=687,M,=966,Ms=668,Ms=003。 
Mi 的 密 文 为 C1 二 688”mod 3337 王 1570, 继 续 进行 类 似 计算 ,可 得 到 最 终 密 文 为 ; 
C= 1570275620912276158 
如 果 解 密 ,计算 Mi 三 1570”” mod 3337 三 688, 类 似 可 以 求 出 其 他 明文 。 


4.3.2 RSA 算法 的 安全 性 


RSA 密码 体制 的 安全 性 基于 分 解 大 整数 的 困难 性 假设 。RSA 算法 的 加 密 函 数 c 二 me 
mod nn 是 一 个 单 向 函数 ,所 以 对 于 攻击 者 来 说 ,试图 解密 密 文 在 计算 上 是 不 可 行 的 。 对 于 接 
收 方 解 密 密 文 的 陷 门 是 分 解 2= pq, 由 于 接收 方 知道 这 个 分 解 ,他 可 以 计算 PCz) 一 
(p 一 1) (gq 一 1) ,然后 用 扩展 欧 几 里 得 算法 来 计算 解密 私 钥 4。 因 此 对 RSA 算法 的 攻击 有 下 
面 几 个 方法 。 

1. 穷 举 攻击 

最 基本 的 攻击 是 穷 举 攻击 ,也 就 是 尝试 所 有 可 能 的 私 钥 。 抵 抗 穷 举 攻 击 的 方法 是 使 用 
大 的 密 钥 空间 ,所 以 位 数 越 多 越 安全 ,但 也 增加 了 加 密 和 解密 的 复杂 性 ,因此 密 钥 越 大 ,系统 
运行 速度 也 越 慢 。 

2. 数学 攻击 

另 一 种 攻击 方式 是 数学 攻击 , 它 的 实质 是 试图 对 两 个 素数 乘积 的 分 解 ,数学 攻击 主要 采 
用 下 面 的 几 种 形式 。 
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(1) 直接 将 n 分 解 为 两 个 素数 因子 ,这 样 就 可 以 计算 g(n) 二 (pp 一 1)(g 一 1), 然 后 可 以 
确定 私 钥 d=e : mod Gn) 

(2) 在 不 事先 确定 p 和 g 的 情况 下 直接 确定 gn) ,同样 可 以 确定 d=e :mod PCz) 。 

(3) 不 先 确 定 p(n) 而 直接 确定 d。 


目前 大 部 分 关于 RSA 密码 分 析 的 讨论 都 集中 在 对 n 进行 素 因 子 分 解 上 ,给 定 n 确定 
9 (nn) 就 等 价 于 对 n 进行 因子 分 解 ,给 定 e 和 n 时 使 用 目前 已 知 算法 求 出 & 在 时 间 开 销 上 至 
少 和 因子 分 解 问题 一 样 大 ,因此 可 以 把 因子 分 解 的 性 能 作为 一 个 评价 RAS 安全 性 的 基准 。 

对 大 整数 分 解 的 威胁 除了 人 类 的 计算 能 力 外 ,还 会 来 自分 解 算法 的 进一步 改进 。 一 直 
以 来 因子 分 解 攻击 都 采用 所 谓 二 次 筛 的 方式 ,最 新 的 攻击 算法 是 广义 素数 得 (Generalized 
Number Filed Sieve,GNFS)。 该 算法 分 解 大 数 的 性 能 被 大 大 提高 。 由 于 大 数 分 解 近 年 来 
取得 很 大 进展 ,因此 ,就 目前 来 说 ,RSA 的 密 钥 大 小 应 该 选取 1024 一 2048 位 比较 合适 。 除 
了 指定 的 大 小 ,为 了 人 避免 选择 容易 分 解 的 数值 ,算法 的 发 明 者 建议 对 p 和 g 加 以 限制 。 

(1) p 和 9g 必须 为 强 素数 (Strong Prime)。 注 : 强 素数 p 的 定义 为 存在 两 个 大 质数 p1 
与 pz, 使 得 pi| p 一 1 且 ps 1p 十 1( 一 层 的 强 素数 )。 若 户 与 p; 均 满足 上 述 强 素数 的 定义 则 
户 为 两 层 的 强 素 数 。 以 两 层 之 强 素数 为 因子 的 合成 数 是 一 个 最 难 的 分 解 因子 问题 。 

(2) p 和 g 的 长 度 应 该 只 差 几 位 ,因而 p 和 g 的 长 度 都 应 该 处 于 105 一 10" 之 间 。 

(3) (bp 一 1) 和 (qd 一 1) 都 应 该 包含 大 的 素 因 子 。 


(4) 与 9 的 差 值 要 能 使 解 方程 式 ( 好 2) 一 (2 2) 一 ”是 可 能 的 。 注 ，( 所-2) 一 万 。 


(5) gcd(p 一 1,g 一 1) 应 该 很 小 。 
(6) 车 e<n 且 dn ,那么 4d 可 以 容易 确定 。 
3. 选择 密 文 攻击 
令 密 文 为 c==m* mod n, 即 明文 为 mn 二 =o mod n。 在 不 知道 解密 私 钥 d 的 情况 下 ,攻击 
者 首先 任意 选 一 个 数 r 二 n, 并 计算 以 下 参数 : 
r=r modn 
3 一 工 Xcmod7 


1 modn 


上 一 矿 
然后 ,攻击 者 将 y 送 给 原 加 密 者 签名 ,得 到 v 一 y mod n。 
利用 以 上 参数 攻击 者 很 容易 算出 明文 如 下 : 
m=tXu=rmXy =r Xr Xe = (modn) 
防止 选择 密 文 攻击 的 方法 是 尽量 避免 随意 给 别人 签名 ,最 实际 的 方法 是 使 用 RSA 加 密 
和 签名 时 ,用 不 同 的 公私 钥 对 ,这 样 可 以 避免 可 能 的 安全 漏洞 。 
4. 公共 模 数 攻击 (Common Modulus Attack) 
假设 攻击 者 得 到 两 组 密 文 : 
ci 一 7 modn 
cz 一 7 mod 7 
由 于 与 ez 互 素 .攻击 者 可 以 解 出 两 整数 7 与 ,满足 : 
rXel 十 sXes 二 1] (素数 性 质 ) 
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注意 : 在 上 式 的 解 中 ,与 有 一 个 为 负数 。 假 设 r 为 负数 , 则 攻击 者 很 容易 算出 明文 
Mm 三 (ci!1) "X(cs)' mod n, 因 此 不 要 在 一 组 用 户 之 间 共 享 nn。 

5. 计时 攻击 

计时 攻击 也 可 以 用 于 对 RSA 算法 的 攻击 。 计 时 攻击 是 攻击 者 通过 监视 系统 解密 消息 
所 花费 的 时 间 来 确定 私 钥 。 时 间 攻 击 方式 比较 独特 , 它 是 一 种 只 用 到 密 文 的 攻击 方式 。 

在 RSA 解密 采用 的 几 种 模 竹 运算 方法 中 都 有 一 个 取 模 的 乘法 函数 ,这 个 函数 的 运行 在 
通常 的 情况 下 是 很 快 的 ,但 是 在 一 些 特殊 情况 下 花费 的 时 间 比 平时 要 多 得 多 。 由 于 算法 的 
运行 时 间 不 固定 ,攻击 者 可 以 猜 到 一 些 值 。 预 防 计 时 攻击 的 方法 有 : 一 是 采用 不 变 的 者 运算 
时 间 , 保 证 所 有 震 操 作 在 返回 一 个 结果 之 前 花费 的 时 间 相 同 ; 二 是 随机 延 时 ,通过 对 求 宕 算法 
增加 一 个 随机 延 时 来 迷惑 攻击 者 ; 三 是 隐蔽 ,在 执行 寡 运 算 之 前 先 用 一 个 随机 数 与 密 文 相 乘 。 

另外 ,还 有 RSA 的 能 量 攻 击 (Differential Power Attack) 方 法 。 它 是 针对 RSA 加 密 硬 
件 的 攻击 ,但 不 是 破坏 加 密 硬件 设备 。 它 是 通过 电源 连 线 测量 加 密 硬件 每 个 时 钟 周期 的 能 
量 消耗 。 如 在 智能 卡 中 ,每 个 指令 (比如 跳 转 、 加 法 、 移 位 等 ) 在 执行 时 需要 不 同 的 指令 周期 
并 且 消 耗 不 同 的 能 量 ,如 果 分 析 测 量 指 令 执 行 时 的 能 量 值 ,就 可 以 在 能 量 值 图 表 上 区 分 出 这 
些 指 令 。 


4.4 ElGamal 密码 


ElGamal 是 1985 年 由 工 . ElGamal 提出 的 一 个 著名 的 公 钥 密码 算法 。 该 算法 既 能 用 于 
数据 加 密 , 也 能 用 于 数字 签名 ,其 安全 性 是 依赖 于 计算 有 限 域 上 离散 对 数 这 一 难题 。 

1. 密 钥 产生 

任 选 一 个 大 素数 p, 使 得 p 一 1 有 大 素 因 子 ,g 是 模 p 的 一 个 本 原 根 ,公开 户 与 5。 使 用 
者 任 选 一 私 钥 xz,zE[0,p 一 1], 并 计算 公 钥 y=g* mod p。 

。 公开 公 钥 : y、p、g 


。 保密 私 钥 : x 

2. 加 密 过 程 

对 于 明文 m, 选 取 一 个 r+,rE[L0,p 一 1], 并 计算 : 
a=g modp 
cso=mXy modp 

则 密 文 为 {ci ,cs } 。 

3. 解密 过 程 

先 计算 ww 二 (cf) !' mod p, 再 计算 出 明文 ==csXw mod p。 

4. 签名 过 程 


假设 对 消息 mr 签名 , 任 选 一 个 随机 数 , 使 kE€L0,p 一 1], 并 计算 : 
r=gmodp 
s=E'(m—zXr) mod (p—1) 
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签名 为 {r,s}。 
5. 签名 验证 过 程 
y Xr=g"(mod pp) 
例 4.2 假设 Alice 想 要 将 消息 闷 王 1299 传送 给 Bob。Alice 任 选 一 个 大 素数 p 为 
1009,g 是 模 p 的 一 个 本 原 根 , 取 g 为 2。 
选择 保密 的 私 钥 xz 为 765, 计 算 公 钥 y= 二 g* mod p= 二 2” mod 2579 二 949。 
Alice 公开 y.p\g 的 值 。 再 选取 一 个 7 为 853, 计 算 密 文 为 : 
c= g" modp= 2 mod 2579 = 435 
cz 一 MX mod p= 1299X 949% mod 2579 = 2396 
Alice 将 密 文 1435,2396) 传 给 Bob,Bob 计算 下 式 解 密 : 
w= (ci) modp 
m= cs Xw modp = 2396 xX (435”5)"! mod 2579 一 1229 
需要 说 明 的 是 ,为 了 避免 选择 密 文 攻击 ,ElGamal 是 对 消息 m 的 hash 值 进行 签名 ,而 
不 是 对 mm 签名。 与 RSA 方法 比较 ,ElGamal 方法 具有 以 下 优点 。 
(1) 系统 不 需要 保存 秘密 参数 ,所 有 的 系统 参数 均 可 公开 。 
(2) 同一 个 明文 在 不 同 的 时 间 由 相同 加 密 者 加 密会 产生 不 同 的 密 文 ,但 EIGamal 方法 
的 计算 复杂 度 比 RSA 方法 要 大 。 


ElGamal 算法 的 安全 性 是 建立 在 有 限 域 上 求 离散 对 数 这 一 难题 基础 上 的 。 关 于 有 限 域 
上 的 离散 对 数 问题 ,人 们 已 经 进行 了 很 深入 的 研究 ,但 到 目前 为 止 还 没有 找到 一 个 非常 有 效 
的 多 项 式 时 间 算 法 来 计算 有 限 域 上 的 离散 对 数 。 通 常 只 要 把 素数 p 选取 得 合适 ,有 限 域 Z， 
上 的 离散 对 数 问题 就 是 难 解 的 。 目 前 要 求 在 ElGamal 密码 算法 的 应 用 中 。 如 果 素 数 p 按 
十 进 制 表 示 ,那么 至 少 应 该 有 300 位 数 , 并 且 p 一 1 至 少 应 该 有 一 个 大 的 素数 因子 。 


4.5 椭圆 曲线 密码 


大 多 数 公 钥 密码 系统 都 使 用 具有 非常 大 数目 的 整数 或 多 项 式 ,计算 量 大 、 密 钥 和 消息 存 
储量 也 极 大 ,致使 工程 实现 变 得 越 来 越 困难 。 后 来 人 们 发 现 椭圆 曲线 是 克服 此 困难 的 一 个 
强 有 力 的 工具 。 特 别 地 ,以 椭圆 曲线 上 的 点 构成 的 Abel 群 为 背景 结构 实现 各 种 密码 体制 已 
是 公 钥 密码 学 领域 的 一 个 重要 课题 。 椭 圆 曲 线 密码 体制 (Elliptic Curve Cryptosystem， 
ECC) 的 依据 是 定义 在 椭圆 曲线 点 群 上 的 离散 对 数 问题 的 难 解 性 。 

公 钥 密码 学 的 数学 理论 早 在 一 百年 前 就 已 经 很 完备 了 ,只 是 目前 计算 机 技术 的 进步 ,该 
理论 才 被 人 们 应 用 :RSA、ElGamal 等 密码 系统 都 是 如 此 .而 椭圆 曲线 在 代数 学 与 几何 学 上 
广泛 的 研究 已 超出 一 百年 之 久 , 已 有 丰富 且 深 层次 的 理论 。 将 椭圆 曲线 系统 第 一 次 应 用 于 
密码 学 是 于 1985 年 由 Koblitz 与 Miller 分 别提 出 的 。 随 后 有 两 个 较 著名 的 椭圆 曲线 密码 
系统 被 提出 : 一 是 利用 ElGamal 的 加 密 法 ; 二 是 Menezes-Vanstone 的 加 密 法 。 下 面 简单 
地 介绍 椭圆 曲线 和 椭圆 曲线 上 的 密码 算法 。 
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4.5.1 椭圆 曲线 的 定义 


在 实数 系 中 ,椭圆 曲线 可 定义 成 所 有 满足 方程 : 交 一 习 十 az 二 的 点 (zy) 所 构成 的 
集合 。 若 x 十 azt 十 b 没有 重复 的 因 式 或 
4 十 27 扩 关 0, 则 EE y= 二 十 ar 十 6b 能 定 
义 成 为 一 个 群 。 例 如 ,椭圆 曲线 y* 二 x 一 + 2 
的 图 形 如 图 4.4 所 示 。 若 4a; 十 27Y 二 0, 则 
此 曲线 某 些 数 的 逆 元 素 将 不 存在 。 OO 

椭圆 曲线 是 连续 的 ,并 不 适合 用 于 加 -2 上 
密 。 必 须 把 椭圆 曲线 变 成 离散 的 点 ,即将 椭 
圆 曲线 定义 在 有 限 域 上 。 因 此 密码 学 中 关 
心 的 是 有 限 域 上 的 椭圆 曲线 。 椭 圆 曲 线 密 
码 体制 中 使 用 的 变 元 和 系数 均 为 有 限 域 中 
元 素 的 椭圆 曲线 。 密 码 应 用 中 所 使 用 的 两 类 椭圆 曲线 是 定义 在 素 域 Z, 上 的 素 曲线 (Prime 
Curve) 和 在 GF(2") 上 构造 的 二 元 曲线 。 对 于 素 域 2Z。 上 的 素 曲线 ,我 们 使 用 三 次 方程 ,其 
中 的 变量 和 系数 在 集合 {0,1,2,…',2 一 1} 上 取 值 ,运算 为 模 户 运算 。 对 于 在 GF(2") 上 的 二 
元 曲线 ,变量 和 系数 在 GF(2”) 内 取 值 , 且 运 算 为 GF(2”) 里 的 运算 。 

密码 系统 在 素 域 Z, 或 者 GF (2”") 下 定义 为 椭圆 曲线 下 : y= 二 十 azt 十 b, 其 中 4a3 十 
27 外 取 0,a 和 4 是 小 于 p(p 为 素数 ) 的 非 负数 。 

在 GF(2”") 下 定义 为 椭圆 曲线 EE: y 十 zy 二 x 十 axz 十 b, 其 中 4b 尖 0。 

椭圆 曲线 有 一 个 特殊 的 点 , 记 为 0, 它 并 不 在 椭圆 曲线 上 ,此 点 称 为 无 限 远 的 点 (The 
Point at Infinity) 或 零点 (Zero Point) 。 用 E(K) 表 示 在 K 上 椭圆 曲线 E 所 有 的 点 所 构成 的 
集合 ,如 E(2Z,) 表 示 在 素 域 Z, 上 椭圆 曲线 EE 所 有 的 点 所 构成 的 集合 ,而 E(GF(2”)) 则 表示 
在 GF(2”") 上 椭圆 曲线 玉 所 有 的 点 所 构成 的 集合 。 显 然 椭 圆 曲 线 上 的 所 有 点 E(K) 集 合 通 
过 定义 一 个 加 法 运算 ,满足 一 定 的 运算 规则 可 以 构成 一 个 Abel 群 。 点 P= (zy) 对 和 坐标 
轴 反 射 的 点 为 一 P=(z, 一 y) ,而 称 一 P 为 点 P 的 负 点 。 车 nP 二 0O, 且 为 最 小 的 正 整数 ， 
则 为 椭圆 曲线 上 上 点 PP 的 阶 。 除 了 无 限 远 的 点 O 之 外 ,椭圆 曲线 上 任何 可 以 生成 所 
有 点 的 点 都 可 视 为 是 EE 的 生成 数 (Generator) ,但 并 不 是 所 有 在 上 的 点 都 可 视 为 生成 数 。 
定义 于 2 的 椭圆 曲线 EE 的 所 有 点 的 个 数 #E 满 足 p 十 1 一 2 /p 夺 #E<p+1+2 /p。 

椭圆 曲线 上 的 两 个 相 异 的 点 相 加 与 双 倍 (Doubling) 的 点 已 的 几何 含义 如 下 。 

(1) 两 个 相 异 的 点 相 加 : 假设 已 和 Q 是 椭圆 曲线 上 两 个 相 异 的 点 ,而且 P 了 去 一 Q。 若 
P 十 Q 二 R, 则 点 R 是 经 过 P、Q 两 点 的 直线 与 椭圆 曲线 相交 的 唯一 交点 的 负 点 ,如 图 4.5 
所 示 。 

(2) 双 们 的 点 了 : 令 P 十 P 二 2P, 则 点 2P 是 经 过 P 的 切线 与 椭圆 曲线 相交 的 唯一 交点 
的 负 点 ,如 图 4.6 所 示 。 

例 4.3 构造 一 个 在 素 域 2,. 上 的 椭圆 曲线 ,并 求 出 构成 该 椭圆 曲线 的 点 。 

选取 模 p 下 的 椭圆 曲线 y 二 x 十 ar 十 6b, 选 取 p 二 23,a 一 6 二 1, 且 有 4X1 十 27X1 关 
0;, 则 二 十 x 十 1 是 椭圆 曲线 ,其 上 的 点 E(2zs) 是 满足 模 p 方程 ,并 且 处 于 从 (0,0) 到 
(p,p) 的 正方 形 中 的 整数 。 表 4. 1 是 组 成 椭圆 曲线 的 点 (Zzs)( 不 包含 O 点 )。 


| 
图 4.4 椭圆 曲 线 举例 
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3rt3 -3x+3 


图 4.5 两 个 相 异 的 点 相 加 图 4.6 双 售 的 点 P 


表 4.1 椭圆 曲线 的 点 E(Zs) 


(0,1) (0,22) (1.7) (1,16) (3,10) (3,13) (4,0) (5,4) (5,19) 


(6,4) (6,19) (7,11) (7,12) (9,7) (9,16) (11,3) (11,20) (12,4) 
(12,19) (13,7) (13,16) (17,3) (17,20) (18,3) (18,20) (19,5) (19,18) 


表 4. 1 是 按照 下 面 的 计算 得 到 的 。 

(1) 针对 所 有 的 z= 二 0,1.2,…,p 一 1, 计 算 十 + 十 1(mod pp), 得 到 曲线 上 的 点 (xz,y)， 
其 中 x,y<p。 

(2) 对 第 (1) 步 得 到 的 每 个 结果 确定 它 是 否 有 一 个 模 p 的 平方 根 。 如 果 没 有 , 则 该 椭圆 
曲线 上 没有 与 这 一 x 相对 应 的 点 。 如 果 有 ,就 有 两 个 满足 平方 根 运 算 的 y 值 (y==0 时 只 有 
一 个 平方 根 ,只 有 一 个 点 (x,0)), 即 y 和 y 一 p。 从 而 (z,y) 和 (zx,y 一 p) 就 是 该 椭圆 曲线 
的 点 。 


4.5.2 ”椭圆 曲线 运算 规则 


1. 椭圆 曲线 在 素 域 Z, 上 的 运算 规则 

在 椭圆 曲线 运算 中 ,大 写 参数 表示 点 ,小写 参数 表示 数值 。 

1) 加 法 规则 

对 于 所 有 的 点 P,Q EE(Z,), 有 : 

(1) P+O=0+P=P.P+(—P)=0 

(2) 如 果 P= 二 (zi ,1),Q= (zz ,yw) ,并且 P 关 一 Q,; 则 P 十 Q= (zxs,ys) 由 下 列 规则 确定 : 


2 
Ts 一 人 —Xi—xs 


2 一 MGCZl 一 Ts) 一 匀 


其 中 ， 
涯 一半 如 果 P 关 Q 
1 一 Tz Ty 
到 十 如果 P 一 Q 
yi 


(3) 如 果 s,t € 2Z, 则 对 所 有 的 点 P EE(2Z，,), 有 (s 十 人 P= 二 sP 十 1P。 
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2) 乘法 规则 


(1) 如 果 A ED , 则 对 所 有 的 点 PEE(CZ,), 有 AP 一 忆 十 … 十 忆 。 
(2) 如 果 s,t EZ,, 则 对 所 有 的 点 PEE(Z,), 有 xsCP) 一 (SOP。 
例 4.4 取 李 圆 曲线 y= 二 x 十 + 十 1 上 的 两 个 点 p= 二 (3,10),Q 二 (9,7), 计 算 P 十 Q 
和 2P。 
计算 P 十 Q 过 程 如 下 : 
7—10_—3_—l 


A 9 一 3 了 11 mod 23 


zx3=11—3—9=109=17 mod 23 
ys =11(3—(—6))—10= 89=20 mod 23 
因而 P+Q= (17,20)。 
计算 2P 过 程 如 下 : 
A 


3(3)+1_ 5_1 
DX D0 HF = 0 od23 
zi=6:—3—3=30=7 mod 23 
ys = 6(3—7)—10=—34=12 mod 23 


因此 2P=(7,12)。 
2. 椭圆 曲线 在 GF(2") 上 的 运算 规则 
1) 加 法 规则 
对 于 所 有 的 点 P,Q EE(GF(2")), 有 以 下 3 种 情况 。 
(1) P+O=0+P=P,P+(—P)=0. 
(2) 如 果 P=(zy),Q=(z yy) ,并且 P 关 一 Q, 则 P 十 Q= (zs ,ys) 
其 中 : 


四 2 二 
属 | 十 沁 + Hxz 二 a 如 果 P 关 QQ 
" 2 


仿 二 
Ti rs 


证 (a + jz 十 za 如果 P=Q 
Il 


a 十 xz) 十 zs 十 mW 如 果 P 关 Q 


(3) 如 果 s,t EGF(2"), 则 对 所 有 的 点 P EE(GF(2")), 有 (s 十 P=sP+tP。 

2) 乘法 规则 

(1) 如 果 EGF(2"), 则 对 所 有 的 点 P EE(GF(2")), 有 RP 二 =P 十 … 十 P。 

(2) 如 果 s,t €E GF(2”), 则 对 所 有 的 点 P EE(GF(2")), 有 s(tP) 二 (sD)P。 

例 4.5 假设 使 用 不 可 约 多 项 式 为 f(x) 二 x 十 x 十 1 定义 有 限 域 GF(24) ,其 本 原 根 (也 
生成 元 ) 满 足 F(g) 一 0, 即 g* 二 g 二 1, 二进制 表示 为 0010。 考 虑 一 个 椭圆 曲线 y? 十 zy 一 
Zz 十 gsx 十 g? 上 的 两 点 P= 二 (g’,g*),Q 一 (g,g')。 计算 P+Q 和 2P。 


涡 
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先 计算 g 的 乘 寡 ,然后 使 用 运算 规则 计算 P+TQ 和 2P。 

可 以 计算 g 的 乘 寡 如 下 : 
g" = (0001), 及 一 (0010)， g*= (0100), g’ = (1000) 
下 一 (0011)， g’ = (0110), 8g = (1100), g’ = (1011) 
bE = W010D;,, pg”= C100 gr = 00ND gr = (lo 
pg = (1D, gs*= (0 gr* (1001); g* = (0001 

计算 P 十 Q 过 程 如 下 : 


bs 全 二 将) 证 
TI 了 2 TX1TX 
| 9 
& £) tin A 
(SS gig Bg 开工 号 
= 
一 下 六 ) (zi 十 站 | 
ys (2 十 zz TI Ts Ts TY 
9 5 
(ETE 
= (Gs 二 十 2 


所 以 PQ=R=(g’,g*)。 
计算 2P 过 程 如 下 : 


b 
za 一 好 十 一 了 
Tl 


= 822 十 型 。gr32 
=g 二 g" 


33 一 Xf 十 (a 十 时 jz 十 zs 
Tl 


一 82 十 (8 十 g9。g3)g 十 有 
= 十 十 


所 以 2P=R=(g,g’)。 
4.5.3 椭圆 曲线 密码 算法 


椭圆 曲线 上 所 有 的 点 外 加 一 个 叫做 无 穷 远 点 的 特殊 点 构成 的 集合 ,连同 一 个 定义 的 加 
法 运算 构成 一 个 Abel 群 。 在 等 式 AP=P+P 十 … 十 P=Q 中 ,已 知 & 和 点 忆 求 点 Q 比较 容 
易 , 反 之 已 知 点 Q 和 点 P 求 & 却 是 相当 困难 的 ,这 个 问题 称 为 椭圆 曲线 上 点 群 的 离散 对 数 
问题 (Elliptic Curve Discrete Logarithm Problem,ECDLP)。 椭 圆 曲 线 密码 算法 正 是 利用 
这 个 困难 问题 而 设计 的 。 

1. ElGamal 的 椭圆 曲线 密码 算法 

1) 密 钥 产生 

假设 系统 公开 参数 为 一 个 椭圆 曲线 及 模 数 户 。 使 用 者 执行 以 下 3 个 步骤 。 

(1) 任 选 一 个 整数 k,0 二 k 二 p。 
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种 


(2) 任 选 一 个 点 AEE, 并 计算 B=kA。 
(3) 公 钥 为 (A,B) , 私 钥 为 人 。 
2) 加 密 过 程 
令 明 文 M 为 E 上 的 一 点 。 首 先 任 选 一 个 整数 rE€ QZ ,然后 计算 密 文 (C,C: ) 一 (rA， 
M 十 rB) 。 密 文 为 两 个 点 。 
3) 解密 过 程 
计算 明文 M= Cs 一 kC。 
例 4.6 选取 一 个 椭圆 曲线 下 : y 二 x 十 zx 十 6 及 模 数 p 为 11, 选 取 椭 圆 曲 线 上 一 个 点 
A==(2,7) ,以 及 一 个 秘密 整数 k=7, 那 么 B=7A==(7,2)。 
现 加 密 明 文 M 二 (10,9), 任 选 一 个 整数 r= 二 3, 那 么 计算 密 文 为 : 
(C1,C2)= (rA,M+rB) = (3(2,7),(10,9) + 3(7,2)) 
= ((8,3),(10,2)) 
注意 : 上 面 的 运算 是 在 模 11 下 进行 的 。 
解密 时 ,计算 明文 如 下 : 
M= C: 一 7C, = (10,2) 一 7(8,3) 
= (10,2)— (3,5) = (10,2) 十 (3,6) = (10,9) 
2. Menezes-Vanstone 的 椭圆 曲线 密码 算法 
Menezes-Vanstone 椭圆 曲线 密码 算法 是 效率 比较 高 的 椭圆 曲线 加 密 法 ,并 且 其 明文 没 
有 限制 一 定 要 落 于 椭圆 曲线 上。 
1) 密 钥 产生 
假设 系统 公开 参数 为 一 个 椭圆 曲线 已 及 模 数 户 。 使 用 者 执行 以 下 3 个 步骤 。 
(1) 任 选 一 个 整数 k,0 二 kp。 
(2) 任 选 一 个 点 AEE, 并 计算 B=kA。 
(3) 公 钥 为 (A,B), 私 钥 为 k。 
2) 加 密 过 程 
令 明 文 M= (za ,ms) ,明文 可 以 是 已 上 的 点 ,也 可 以 不 是 巨 上 的 点 。 
(1) 任 选 一 个 数 rE Zr ,其 中 五 为 忆 所 包含 的 一 个 循环 子 群 。 
(2) 计算 密 文 (C, ,C: ) ,其 中 : 
C=rA 
Y= (yy)=rB 
Cs = (cc2) = (yy Xm mod py Xm mod p) 
3) 解密 过 程 
(1) 计算 Z= (zi,z2) 二 kCi。 
(2) 计算 明文 M=(ca Xzi! mod p,czzs Xzz! mod p)。 


4.5.4 ”椭圆 曲线 密码 的 性 能 


公 钥 密码 体制 根据 其 所 依据 的 难题 主要 分 为 3 类 : 大 整数 分 解 问题 类 、 离 散 对 数 问题 
类 和 椭圆 曲线 离散 对 数 类 。 有 时 也 把 椭圆 曲线 离散 对 数 类 归 为 离散 对 数 类 。 椭 圆 曲 线 密码 
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体制 的 安全 性 是 建立 在 椭圆 曲线 离散 对 数 的 数学 难题 之 上 。 椭 圆 曲 线 离散 对 数 问题 被 公认 
为 要 比 整 数 分 解 问题 (RSA 方法 的 基础 ) 和 模 户 离散 对 数 问题 CDSA 算法 的 基础 ) 难 解 得 
多 。 目 前 解 椭圆 曲线 上 的 离散 对 数 问题 的 最 好 算法 是 Pollard Rho 方法 ,其 计算 复杂 度 上 
是 完全 指数 级 的 ,而 目前 对 于 一 般 情况 下 的 因数 分 解 的 最 好 算法 的 时 间 复 杂 度 是 亚 指数 级 
的 。ECC 算法 在 安全 强度 、 加 密 速度 以 及 存储 空间 等 方面 都 有 巨大 的 优势 。 如 161 位 的 
ECC 算法 的 安全 强度 相当 于 RSA 算法 1024 位 的 强度 。 这 也 表明 ECC 算法 需要 的 存储 空 
间 要 比 RSA 算法 需要 的 小 得 多 。 


4.6 公 和 钥 分 配 


与 对 称 密码 体制 一 样 , 公 钥 密码 体制 在 应 用 时 也 需要 进行 密 钥 分 配 。 但 是 , 公 钥 密码 体 
制 的 密 钥 分 配 与 对 称 密码 体制 的 密 钥 分 配 有 着 本 质 的 差别 。 由 于 对 称 密码 体制 中 只 有 一 个 
密 钥 ,因此 在 密 钥 分 配 中 必须 同时 确保 密 钥 的 秘密 性 、 真 实 性 和 完整 性 。 而 公开 密 钥 密码 体 
制 中 有 两 个 密 钥 , 私 钥 由 自己 保管 ,不 需要 进行 分 配 。 但 公 钥 是 公开 的 ,如 果 不 进 行 保护 , 任 
何人 都 可 以 伪造 它 。 因 此 公 钥 密码 体制 需要 对 公 钥 进行 分 配 ,但 不 需要 保证 公 钥 的 秘密 性 。 
只 需 确保 公 钥 的 真实 性 和 完整 性 ,这 样 就 能 保证 公 钥 没有 被 攻击 者 替换 或 贷 改 。 公 钥 的 分 
配方 法 可 归纳 为 4 种 : 公开 发 布 . 公 用 目录 表 、 公 钥 授 权 和 公 钥 证 书 。 

1. 公开 发 布 

公开 发 布 指 用 户 将 自己 的 公 钥 发 给 其 他 用 户 , 或 广播 给 某 一 团体 。 例 如 PGP(Pretty 
Good Privacy) 中 采用 了 RSA 算法 , 它 的 很 多 用 户 都 是 将 自己 的 公 钥 附加 到 消息 上 ,然后 发 
送 到 公开 (公共 ) 区 域 ,如 Internet 邮件 列表 。 

这 种 方法 虽然 简单 ,但 有 一 个 较 大 的 缺点 , 即 任何 人 都 可 伪造 这 种 公开 发 布 。 如 果 某 个 用 
户 假装 是 用 户 A 并 以 A 的 名 义 向 另 一 用 户 发 送 或 广播 自己 的 公开 钥 , 则 在 A 发 现 假冒 者 以 
前 ,这 一 假冒 者 可 解读 所 有 意欲 发 向 A 的 加 密 消息 ,而 且 假冒 者 还 能 用 伪造 的 密 钥 获得 认证 。 

2. 公用 目录 表 

公用 目录 表 指 一 个 公用 的 公 钥 动态 目录 表 , 公 用 目录 表 的 建立 \ 维 护 以 及 公 钥 的 分 布 由 
某 个 可 信 的 实体 或 组 织 承担 , 称 这 个 实体 或 组 织 为 公用 目录 的 管理 员 。 与 第 一 种 分 配方 法 
相 比 ,这 种 方法 的 安全 性 更 高 。 该 方法 有 以 下 一 些 组 成 部 分 。 

(1) 管理 员 为 每 个 用 户 在 目录 表 中 建立 一 个 目录 ,目录 中 有 两 个 数据 项 : 一 是 用 户 名 ， 
二 是 用 户 的 公 钥 。 

(2) 每 一 用 户 都 亲自 或 以 某 种 安全 的 认证 通信 在 管理 者 那里 为 自己 的 公 钥 注册 。 

(3) 用 户 可 以 随时 用 新 密 钥 替换 现 有 的 密 钥 。 这 可 能 由 于 自己 的 公 钥 用 过 的 次 数 太 多 
或 由 于 与 公 钥 相关 的 私 钥 已 被 泄露 。 

(4) 管理 员 定期 公布 或 定期 更 新 目录 表 。 例 如 , 像 电话 号 码 本 一 样 公布 目录 表 或 在 发 
行 量 很 大 的 报纸 上 公布 目录 表 的 更 新 。 

(5) 用 户 可 通过 电子 手段 访问 目录 表 。 此 时 ,从 管理 员 到 用 户 必须 有 安全 的 认证 通信 。 

这 种 方案 的 安全 性 明显 高 于 公开 发 布 的 安全 性 ,但 仍 易 受 到 攻击 。 如 果 攻 击 者 成 功 地 
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获得 管理 员 的 私人 密 钥 ,就 可 伪造 一 个 公 钥 目录 表 , 以 后 既 可 以 假冒 任意 一 个 用 户 又 可 以 监 
听 发 往 任 意 一 个 用 户 的 消息 。 

3. 公 钥 授权 

与 公用 目录 表 类 似 , 假 定 有 一 个 公 钥 管理 机 构 来 为 用 户 建立 .维护 动态 的 公 钥 目录 ,但 
同时 对 系统 提出 以 下 要 求 , 即 每 个 用 户 都 可 靠 地 知道 管理 机 构 的 公 钥 ,而 只 有 管理 机 构 自己 
知道 相应 的 私 钥 。 图 4. 7 是 典型 的 公 钥 分 配方 案 ,在 这 个 分 配方 案 中 完成 了 两 个 功能 ,一 是 
获得 需要 的 公 钥 ,二 是 双方 相互 认证 。 其 公 钥 分 配 步 骤 如 下 。 


公 钥 管理 
机 构 


(2) Erna[K UBsllRequest|Timel] 
(5) Eknww[KUA|IRequestlTime>] 


(1) RequestllTime'y (4) Requestl|Time;, 


(3) Ekus[IDAIIN] 


(7) EkuslN2+1] 
4.7 公 钥 分 配方 案 


(1) A 向 公 钥 管理 机 构 发 送 一 个 带 时 间 惟 的 消息 。 消 息 中 有 获取 B 的 当前 公 钥 的 
(2) 公 钥 管理 机 构 对 A 的 请 求 做 出 应 答 。 应 答 由 一 个 消息 表示 ,该 消息 由 管理 机 构 用 
自己 的 私 钥 KR 加密, 因此 A 能 用 公 钥 管理 机 构 的 公 钥 解密 ,并 使 A 相信 这 个 消息 的 确 
是 来 源 于 公 钥 管理 机 构 。 这 条 消息 中 包括 以 下 几 项 内 容 。 
。B 的 公 和 钥 K 民 Us ,A 可 用 它 对 将 发 往 B 的 消息 加 密 。 
。 A 的 请 求 , 用 于 A 验证 收 到 的 应 答 的 确 是 对 相应 请 求 的 应 答 , 且 还 能 验证 自己 最 初 
发 出 的 请 求 在 被 公 钥 管 理 机 构 收 到 以 前 是 否 被 算 改 。 
。 原始 的 时 间 帘 Time ,以 使 A 相信 公 钥 管理 机 构 发 来 的 消息 不 是 一 个 旧 消 息 , 因 此 
消息 中 的 公 钥 的 确 是 B 当前 的 公 钥 。 
(3) A 用 B 的 公开 密 钥 对 一 个 消息 加 密 后 发 往 B, 这 个 消息 有 两 个 数据 项 : 一 是 A 的 
身份 IDA ,二 是 一 个 临时 交互 号 Ni ,用 于 唯一 地 标识 这 一 过 程 。 
(4) B 以 相同 方式 从 公 钥 管理 机 构 获取 A 的 公 钥 (与 第 (1) 步 和 第 (2) 步 类 似 ) 。 此 时 ， 
A 和 了 B 都 已 安全 地 得 到 了 对 方 的 公 钥 ,所 以 可 进行 保密 通信 。 
下 面 两 步 是 双方 互相 认证 。 
(5) B 对 一 个 消息 加 密 后 发 往 A, 该 消息 的 数据 项 有 A 的 临时 交互 号 Ni 和 了 BB 产 生 的 
一 个 临时 交互 号 N* 。 因 为 只 有 也 能 解密 第 (3) 步 中 的 消息 ,所 以 A 收 到 的 消息 中 的 Ni 可 
使 其 相信 通信 的 另 一 方 的 确 是 B。 
(6) A 用 B 的 公 钥 对 N; 十 1 加 密 后 返回 给 B, 可 使 B 相信 和 通信 的 另 一 方 的 确 是 A。 在 
这 个 过 程 中 ,如 果 A 用 B 的 公 钥 只 对 Na 加 密 返 回 给 B,B 不 能 确信 通信 的 另 一 方 是 A, 因 
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为 任何 人 可 以 重 放 该 消息 。 

以 上 过 程 共 发 送 了 7 个 消息 ,其 中 前 4 个 消息 用 于 获取 对 方 的 公开 密 钥 。 用 户 得 到 对 
方 的 公开 密 钥 后 保存 起 来 可 供 以 后 使 用 ,这 样 就 不 必 再 发 送 前 4 个 消息 了 。 然 而 还 必须 定 
期 地 通过 公 钥 管理 机 构 获 取 通 信 对 方 的 公 钥 ,以 免 对 方 的 公 钥 更 新 后 无 法 保证 当前 的 通信 。 

4. 公 钥 证 书 

公 钥 授权 由 公 钥 管理 机 构 分 配 公 钥 存在 一 些 不 足 , 由 于 每 一 个 用 户 要 想 和 他 人 联系 都 
要 求助 于 公 钥 管理 机 构 , 所 以 管理 机 构 有 可 能 成 为 系统 的 瓶颈 ,而 且 由 管理 机 构 维 护 的 公 钥 
目录 表 也 易 被 攻击 者 算 改 。 

分 配 公 钥 的 另 一 方法 是 公 角 证书, 用户 通过 交换 公 钥 证 书 来 互相 交换 自己 的 公 钥 。 公 
钥 证 书 类 似 人 们 使 用 的 纸 类 证 书 ,如 驾驶 执照 ,毕业 证 等 ,两 者 都 包括 拥有 者 的 属性 ,可 以 对 
它们 验证 。 证 书 一 般 由 第 三 方 发 行 ,这 个 第 三 方 称 为 证 书 权威 中 心 (Certificate Authority， 
CA)。 证书 由 CA 签名 表明 证 书 的 拥有 者 所 具有 的 公 钥 等 信息 。 证 书 由 CA 用 它 的 私 钥 签 
名 ,其 他 用 户 可 以 用 CA 的 公 钥 验证 证 书 的 真 假 。 

使 用 公 钥 证 书 分 配 公 钥 的 过 程 非常 简单 。 事 先 由 CA 对 用 户 的 证 书签 名 ,证 书 中 包含 
有 与 该 用 户 的 私 钥 相 对 应 的 公 钥 及 用 户 的 身份 等 信息 。 所 有 的 数据 项 经 CA 用 自己 的 私 钥 
签名 后 就 可 形成 证 书 。 用 户 可 将 自己 的 公 钥 通过 公 钥 证 书 发 给 另 一 用 户 ,接收 方 可 用 CA 
的 公 钥 对 证 书 加 以 验证 ,这样 接 收 方 就 能 知道 发 送 方 的 公 钥 ,由 于 证 书 是 由 CA 私 钥 加 密 ， 
所 以 任何 其 他 人 不 能 伪造 该 证 书 。 

假设 用 户 A 的 证 书 中 的 内 容 只 包括 用 户 身份 IDA、A 的 公 钥 PUA 和 签名 时 间 Time， 
CA 用 自己 的 私 钥 PReA 签 名 得 到 A 的 证 书 : 

Ca = Eegw (IDA || PUA | Time) 
接收 方 可 以 用 CA 的 公 钥 PUca 对 证 书 进行 验证 , 即 : 
Dpu,, (Ca) = Dpu, (Epre, (IDa || PUa | Time)) = (IDa || PUA || Time) 

因为 只 有 用 CA 的 公 钥 才能 解读 证 书 , 接 收 方 从 而 验证 了 


2 证 书 的 确 是 由 CA 签发 的 ,并 且 也 获得 了 发 送 方 的 身份 和 公开 
签名 算 帮 算法 ”| 密 钥 。Time 是 为 接收 方 保证 了 收 到 的 证 书 不 是 一 个 旧 证书 , 用 
法 标识 Tp 以 防止 发 送 方 或 攻击 方 重 放 。 
/一 EH 友 从 上 面 的 过 程 我 们 可 以 看 到 ,使 用 公 钥 证 书 分 配 公 钥 时 ,用 
有 有效 期 \ [一朗 让 期 ~ 户 只 需 事先 从 CA 那里 获得 证 书 ,就 可 以 互相 交换 证 书 得 到 对 
还 # 作 名 “| 方 的 公 铀 ,因此 不 像 公 铀 授权 那样 每 次 都 要 求助 于 公 钥 管理 
主体 公 人 -一 参数 一 一 机 构 。 
全 省 全 | [= 胡同 = 实际 上 证 书 的 内 容 不 仅仅 包括 身份 、 公 钥 和 签名 时 间 等 信 


息 。 图 4.8 是 广泛 使 用 的 证 书 标准 X. 509 v3, 它 用 于 大 部 分 的 
网 络 安全 应 用 中 ,X.509 v3 证 书 中 各 域 的 语义 如 下 。 


扩展 
[mR 。 版 本 : 区 分 证 书 的 不 同 的 版 本 ,默认 设置 为 1。 如 果 存 
签名 | -将 --- 在 发 行商 唯一 标识 或 者 主体 唯一 标识 , 则 版 本 号 为 2; 
密 


如 果 存 在 一 个 或 者 多 个 扩展 , 则 版 本 号 为 3。 
图 4.8 X.509 v3 证 书 。 证 书 序列 号 : 一 个 整数 ,由 证 书 颁发 者 分 配 的 本 证 书 的 
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唯一 标识 符 。 

签名 算法 标识 : 带 参数 的 ,用 于 给 证 书签 名 的 算法 ,由 于 此 信息 在 证 书 尾 部 的 “ 签 
名 ” 域 中 还 会 出 现 ,这 里 很 少 包 含 该 信息 。 

发 行商 名 字 : X. 509 中 认证 中 心 CA 的 名 字 。 

有 效 期 : 包括 证 书 的 生效 日 期 和 终止 日 期 。 

证 书 主体 名 : 获得 证 书 的 用 户 名 。 

证 书 主体 公 钥 信息 : 主体 的 公 钥 以 及 将 被 使 用 的 密 钥 的 算法 标识 , 带 有 相关 的 
参数 。 

发 行商 唯一 标识 : 由 于 X. 509 的 名 字 被 许多 不 同 的 实体 引用 ,因此 用 可 选 位 串 唯 一 
标识 认证 中 心 。 

证 书 主体 唯一 标识 : 由 于 X. 509 的 名 字 被 许多 不 同 的 实体 引用 ,因此 用 可 选 位 串 唯 
一 标识 证 书 主体 。 

扩展 : 一 个 或 者 多 个 扩展 域 集 ,扩展 域 是 版 本 3 中 增加 的 。 

签名 : 覆盖 证 书 的 所 有 其 他 域 ,以 及 其 他 域 被 CA 私 钥 加 密 后 的 Hash 代码 ,以 及 签 
名 算法 标识 。 


4.7 ”利用 公 钥 密码 分 配对 称 密 钥 


由 于 公 钥 算法 速度 很 慢 , 在 通信 中 一 般 不 使 用 公 钥 加 密 消息 ,而 是 使 用 会 话 钥 (对 称 密 


码 密 钥 ) 


。 因 此 一 般 的 做 法 是 用 会 话 钥 加 密 消息 ,用 公 钥 来 实现 会 话 钥 的 分 配 。 用 公 钥 分 配 


对 称 密 钥 比 第 3 章 介 绍 的 对 称 密 钥 的 分 配方 法 简单 得 多 。 

假设 A 和 B 之 间 需 要 一 个 会 话 钥 进行 秘密 通信 ,一 种 简单 的 会 话 钥 分 配方 法 如 下 。 

A 产生 一 对 公私 钥 PUA 和 PRA ,将 公 钥 PUA 和 自己 的 身份 标识 IDA 传 给 B。B 产生 
一 个 会 话 钥 K,, 用 A 的 公 钥 PUA 加 密 后 Epu,(K, ) 传 给 A, 由 于 只 有 A 有 私 钥 PRA, 所 以 
A 能 够 得 到 会 话 钥 K,。 随 后 双方 用 会 话 钥 K, 加 密 双 方 需要 传输 的 消息 。 


上 面 的 会 话 钥 分 配方 法 能 够 防止 窃听 攻击 ,但 易 受到 中 [ B 
间 人 攻击 (Man-in-the-Middle Attack)。 中 间 人 攻击 是 一 种 | 区 
间接 的 攻击 方法 ,如 图 4.9 所 示 。 假 设 A 和 B 是 需要 通信 的 C 


双方 ,C 


则 是 中间人 ”。A 和 B 都 以 为 将 消息 传送 给 对 方 , 没 图 4.9 中 间 人 攻击 示意 图 


有 意识 到 由 一 个 中 间 人 C 在 转发 消息 。C 不 仅 可 以 窃听 A 
和 B 的 通信 ,还 可 以 对 信息 进行 算 改 再 传 给 对 方 。 当 然 C 也 可 以 获得 A 和 B 之 间 通 信 的 敏 


感 信息 。 


因此 上 面 介绍 的 简单 会 话 钥 分 配方 案 很 容易 被 中 间 人 攻击 。 中 间 人 C 的 攻击 过 程 如 下 。 


(ly 
(2) 
(3) 
(4) 


A 一 C: A 的 公 钥 PUA 和 身份 标识 IDA。 
CB: C 的 公 钥 PUc 和 身份 标识 IDe 。 
B-~C: Erue (K.),C 因此 知道 K.。 
C-~A: Eru (K。)。 


在 上 面 的 过 程 中 ,中 间 人 也 知道 K, ,因此 中 间 人 C 可 以 知道 A 和 B 之 间 传 输 的 所 有 
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秘密 。 

上 面 的 会 话 钥 分 配 过 程 中 缺少 双方 之 间 的 相互 认证 ,因此 让 中 间 人 C 有 可 乘 之 机 。 下 
面 是 一 种 改进 方法 。 假 设 A 和 了 事先 可 以 得 到 对 方 的 公 钥 ,会话 钥 分 配 过 程 如 下 。 

(1) A—>B: Eru (IDA | Ni ). 

(2) B>A: Eeu (Ni | N,). 

(3) A>B: Erv, (Nz:+1). 

(4) B>A: Epu (Epr, (K.)). 

首先 A 用 B 的 公 钥 加 密 自己 的 身份 ID、 和 临时 交互 号 Ni ,然后 将 消息 传送 给 B, 只 有 
B 能 够 打开 这 个 消息 。 随 后 了 用 A 的 公 钥 加 密 临时 交互 号 Ni 和 Ns ,然后 将 消息 传 给 A， 
也 只 有 A 可 以 打开 该 消息 ,由 于 A 同时 收 到 了 Ni ,所 以 可 以 认证 对 方 确实 是 B。B 传 N。 
的 目的 是 想 认证 A。 当 A 用 B 的 公 钥 加 密 Ns* 十 1, 然 后 将 消息 传 给 也 后,B 也 可 以 认证 对 
方 一 定 是 A。 最 后 一 步 由 也 产生 一 个 会 话 钥 开 ,, 先 用 自己 的 私 钥 PRs 加 密 ,再 用 A 的 公 钥 
加 密 , 这 样 做 的 目的 是 既 可 以 保密 又 能 认证 。 


4.8 Diffie-Hellman 密 钥 交换 


Diffie-Hellman 密 钥 交换 是 W. Diffie 和 M. Hellman 于 1976 年 提出 的 第 1 个 公开 密 钥 
算法 ,已 在 很 多 商业 产品 中 得 以 应 用 。 算 法 的 唯一 目的 是 使 得 两 个 用 户 能 够 安全 地 交换 密 
钥 , 得 到 一 个 共享 的 会 话 密 钥 ,算法 本 身 不 能 用 于 加 密 和 解密 。 该 算法 的 安全 性 基于 求 离散 
对 数 的 困难 性 。 

假定 p 是 一 个 素数 ,a 是 其 本 原 根 ,将 p 和 a 公开 。 假 设 A 和 B 之 间 希 望 交换 会 话 钥 。 

用 户 A: 

(1) 随机 地 选取 一 个 大 的 随机 整数 za ,将 其 保密 ,其 中 ,0 二 zs 三 p 一 2。 

(2) 计算 公开 量 ya 二 a* mod p, 将 其 公开 。 

用 户 B， 

(1) 随机 地 选取 一 个 大 的 随机 整数 xs, 将 其 保密 ,其 中 ,0<zp 夺 p 一 2。 

(2) 计算 公开 量 ye 一 ara mod p, 将 其 公开 。 

。 用 户 A 计算 : K=ys modp 

。 用 户 B 计 算 : K=y modp 


用 户 A 和 用 户 也 各 自 计算 的 天 即 是 他 们 共享 的 会 话 钥 。 显 然 A 和 BB 各自 计 算 的 值 相 
等 ,因为 : 


ya mod p= ys modp=as modp 
例 4.7 假定 在 用 户 Alice 和 Bob 之 间 交 换 密 钥 。 选 择 素数 p 二 353 以 及 本 原 根 一 3 
〈 可 由 一 方 选择 后 发 给 对 方 ) 。 
Alice 和 Bob 各 自选 择 随机 秘密 数 。 
Alice 选择 zA 王 97,Bob 选择 za 一 233。 
Alice 和 Bob 分 别 计算 公开 数 。 
Alice 计算 : ya 二 3”mod 353 二 40。 
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Bob 计算 : ye 一 32amod 353 一 248。 

双方 各 自 计算 共享 的 会 话 钥 。 

Alice 计算 : K 二 ys* mod 353 一 248" mod 353 一 160。 

Bob 计算 : 开 一 yemod 353 一 4053mod 353 一 160。 

Diffie-Hellman 密 钥 交换 协议 很 容易 受到 中 间 人 攻击 : 一 个 主动 的 窃听 者 C 可 能 截取 
A 发 给 B 的 消息 以 及 B 发 给 A 的 消息 ,攻击 者 将 用 自己 的 消息 替换 这 些 消息 ,并 分 别 与 A 
和 B 完成 一 个 Diffie-Hellman 密 钥 交 换 , 而 且 还 维持 了 一 种 假象 一 一 A 和 B 直接 进行 了 通 
信 。 密 钥 交 换 协议 完毕 后 ,A 实际 上 和 C 建立 了 一 个 会 话 密 钥 ,B 和 C 建立 了 一 个 会 话 密 
钥 。 当 A 加 密 一 个 消息 ,并 将 该 消息 发 送 给 B 时 ,C 能 解密 它 而 B 不 能 。 类 似 地 , 当 B 加 密 
一 个 消息 发 送 给 A 时 ,C 能 解密 它 而 A 不 能 。 防 止 Diffie-Hellman 密 钥 交 换 协议 中 间 人 攻 
击 的 一 个 方法 是 让 A 和 也 分 别 对 消息 签名 。 


4.9 关键 术语 


公 钥 密码 体制 (Public Key Cryptosystem) 

非 对 称 密码 体制 (Asymmetric Cryptosystem) 
公 钥 (Public Key) 

私 钥 (Private Key) 

公共 模 数 攻 击 (Common Modulus Attack) 

椭圆 曲线 密码 体制 (Elliptic Curve Cryptosystem,ECC) 
证 书 权 威 中心 (Certificate Authority,CA) 

中 间 人 攻击 (Man-in-the-Middle Attack) 


4.10 习 题 4 


4.1 在 使 用 RSA 的 公 钥 体制 中 ,已 截获 发 给 某 用 户 的 密 文 为 = 10, 该 用 户 的 公 钥 
e 二 5,n 王 35, 那 么 明文 m 等 于 多 少 ? 为 什么 能 根据 公 钥 可 以 破解 密 文 ? 

4.2 利用 RSA 算法 计算 ,如 果 p= 二 11,g 二 13,e 二 103, 对 明文 3 进行 加 密 。 求 4 及 
密 文 。 

4.3 在 RSA 体制 中 , 某 用 户 的 公 钥 e 二 31,n 二 3599, 屠 么 该 用 户 的 私 钥 等 于 多 少 ? 

4.4 在 RSA 体制 中 ,假设 某 用 户 的 公 钥 是 3533,p 二 101,g 二 113, 现 对 明文 9726 加 密 

4.5 在 ElGamal 密码 体制 中 ,假设 Alice 想 要 将 消息 m 二 1299 传送 给 Bob。Alice 任 
选 一 个 大 素数 p 为 2579, 取 g 为 101 ,选择 保密 的 私 钥 工 为 237。 

(1) 计算 公 钥 y。 

(2) 求 密 文 。 

(3) 写 出 解密 过 程 。 
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4.6 选取 模 户 为 11 下 的 椭圆 曲线 y= 二 x 十 x 十 6, 确 定 E(Zu) 上 的 所 有 点 。 

4.7 ” 取 实 数 域 桶 圆 曲线 y 二 x 一 36z 上 的 两 个 点 p 二 (一 3,9),Q 王 (12,36) ,计算 P 十 Q 
和 2P。 

4.8 利用 ElGamal 的 椭圆 曲线 密码 算法 , 设 椭圆 曲线 是 y: 二 zx’ 一 + 十 118。 椭圆 曲线 
上 一 个 点 A 二 (0,376) ,假设 A 选择 一 个 秘密 整数 & 二 7。 求 : 

(1) A 的 公开 密 钥 。 

(2) 发 送 方 B 欲 发 送 消息 (562,201) ,选择 随机 数 r= 二 386。 求 密 文 。 

(3) 给 出 A 从 密 文 恢复 消息 的 计算 过 程 。 

4.9 公 钥 密码 一 般 用 于 传输 对 称 密 钥 , 现 假设 A 和 了 B 之 间 需 要 传输 数据 ,A 产生 一 个 
会 话 钥 ,请 回答 下 面 问题 : 

(1) 在 事前 ,通信 发 信者 A 应 该 得 到 什么 密 钥 ? 

(2) 会 话 钥 的 作用 是 什么 ? 

(3) 写 出 一 个 密 钥 分 配 协议 ,并 分 析 其 安全 性 。 

4.10 在 Diffie-Hellman 方法 中 ,公共 素数 p= 二 11, 本 原 根 a=2。 

(1) 如 果 用 户 A 的 公 钥 YA 一 9, 则 A 的 私 钥 XA 为 多 少 ? 

(2) 如 果 用 户 B 的 公 钥 Ys 二 3, 则 共享 密 钥 K 为 多 少 ? 

4.11 ”两 个 用 户 A 和 B 使 用 Diffie-Hellman 密 钥 交 换 协 议 来 交换 密 钥 , 假 设 公共 素数 
Pp 二 71, 本 原 根 a 二 7。A 和 B 分 别 选 择 秘 密 数 为 5 和 12。 求 共享 的 密 钥 。 

4.12 ”编写 RSA 加 密 和 人 解密 程序 。 
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本 章 导 读 

> 消息 认证 是 用 来 防止 主动 攻击 的 重要 技术 ,用 以 保证 消息 的 完整 性 。 常 见 的 消息 认 
证 密码 技术 包括 消息 认证 码 (MAC) 和 安全 散 列 函 数 。 另 外 ,消息 加 密 也 可 以 提供 
一 种 形式 的 认证 。 

> MAC 是 需要 使 用 密 钥 的 算法 ,其 输入 是 可 变 长 度 的 消息 和 密 钥 ,其 输出 是 一 个 定 长 
的 认证 码 。 只 有 拥有 密 钥 的 消息 ,发 送 方 和 接收 方才 可 以 生成 消息 认证 码 和 验证 消 
息 的 完整 性 。 

> 散 列 函数 和 MAC 算法 类 似 , 也 是 一 个 单 向 函数 ,但 是 无 需 密 钥 ,其 输入 是 可 变 长 度 
的 消息 ,其 输出 是 固定 长 度 的 散 列 值 ,也 叫 消 息 摘要 。 

> 数字 签名 是 基于 公 铀 密码 技术 的 认证 技术 。 它 和 手写 签名 类 似 , 使 得 消息 的 发 送 者 
可 以 使 用 自己 的 私 钥 为 初始 消息 生成 一 个 有 签名 作用 的 签名 码 , 接 收 者 接收 到 初始 
消息 和 相应 的 签名 码 , 可 以 使 用 消息 发 送 者 的 公 钥 对 该 消息 的 签名 码 进行 验证 。 数 
字 签 名 可 以 保证 消息 的 来 源 和 消息 本 身 的 完整 性 。 

> 使 用 数字 签名 ,通常 需要 和 散 列 函数 配合 使 用 。 


5.1 认 证 


加 密 通常 用 于 保密 ,对 某 个 信息 的 加 密 操作 使 得 其 内 容 对 于 未 授权 的 人 而 言 是 保密 的 、 
安全 的 。 但 是 ,在 某 些 情况 下 ,完整 性 比 保密 性 更 重要 。 例 如 ,在 某 个 医院 的 医疗 系统 中 检 
索 到 的 病人 的 医疗 记录 ,或 者 银行 系统 中 检索 到 的 某 个 人 的 信用 记录 ,检索 到 的 这 些 信息 和 
所 存储 的 正本 是 否 一 致 是 非常 重要 的 。 在 传统 的 或 者 没有 考虑 完整 性 的 系统 中 ,文件 的 组 
成 部 分 或 者 消息 的 组 成 部 分 , 即 每 个 字 节 ,位 或 者 字符 都 是 彼此 独立 的 ,由 于 缺乏 彼此 的 缘 
定 , 使 得 攻击 者 对 于 信息 的 修改 无 法 被 发 现 。 在 目前 的 电子 商务 系统 中 的 各 种 应 用 中 ,这 类 
问题 造成 的 后 果 更 加 严重 。 能 否 为 文件 或 者 网 络 中 通信 的 消息 打上 一 个 标签 , 当 文 件 或 消 
息 出 现 了 任何 改变 ,即便 只 修改 了 一 位 信息 时 ,我 们 都 可 以 从 标签 和 信息 的 关系 上 知道 有 内 
容 被 修改 了 。 这 种 想法 和 中 世纪 在 信封 上 使 用 蜡 封 类 似 。 在 密码 技术 中 ,提供 这 样 的 蜡 圭 
技术 或 标签 技术 的 就 是 为 信息 提供 一 种 认证 ,这 样 的 蜡 封 或 者 标签 在 密码 技术 中 称 为 认证 
码 , 如 后 文中 讨论 的 哈 希 值 、 校 验 和 等 都 是 某 种 形式 的 认证 码 。 

同样 ,在 网 络 通信 环境 中 ,保密 的 目的 是 防止 攻击 者 破译 系统 中 的 机 密 信息 ,但 在 大 多 
数 网 络 应 用 中 , 仅 提供 保密 性 是 远 远 不 够 的 。 网 络 安全 的 威胁 来 自 于 两 个 方面 : 一 是 被 动 
攻击 ,攻击 者 只 是 通过 侦 听 和 截取 等 手段 被 动 地 获取 数据 ,并 不 对 数据 进行 修改 ; 二 是 主动 
攻击 ,攻击 者 通过 伪造 、 重 放 、 自 改 、 改 变 顺 序 等 手段 改变 数据 。 认 证 则 是 防止 主动 攻击 的 重 
要 技术 , 它 对 于 开放 环境 中 的 各 种 信息 系统 的 安全 性 有 重要 作用 ,可 以 防止 如 下 一 些 攻击 。 
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。 伪装 : 攻击 者 生成 一 个 消息 并 声称 这 条 消息 是 来 自 某 个 合法 实体 ,或 者 攻击 者 冒充 
消息 接收 方向 消息 发 送 方 发 送 的 关于 收 到 或 未 收 到 消息 的 欺诈 应 答 。 

。 内 容 修改 : 对 消息 内 容 的 修改 ,包括 插入 、 删 除 、 转 换 和 修改 。 

。 顺序 修改 : 对 通信 双方 消息 顺序 的 修改 ,包括 插入 、 删 除 和 重新 排序 。 

。 计时 修改 : 对 消息 的 延迟 和 重 放 。 在 面向 连接 的 应 用 中 ,攻击 者 可 能 延迟 或 重 放 以 
前 某 合法 会 话 中 的 消息 序列 ,也 可 能 会 延迟 或 重 放 消息 序列 中 的 某 一 条 消息 。 


认证 的 目的 主要 有 两 个 : 第 一 ,验证 消息 的 发 送 者 是 合法 的 ,不 是 冒充 的 ,这 称 为 实体 
认证 ,包括 对 信 源 、. 信 宿 等 的 认证 和 识别 ; 第 二 ,验证 信息 本 身 的 完整 性 ,这 称 为 消息 认证 ， 
验证 数据 在 传送 或 存储 过 程 中 没有 被 自 改 、 重 放 或 延迟 等 。 
保密 和 认证 是 信息 系统 安全 的 两 个 重要 方面 ,但 它们 又 是 不 同 的 。 认 证 不 能 自然 地 提 
供 保密 性 ,而 保密 性 也 不 能 自然 地 提供 认证 功能 。 但 从 某 个 层面 上 而 言 ,我 们 也 可 以 说 保密 
性 提供 了 某 种 认证 功能 ,因为 攻击 者 如 果 无 法 获得 用 于 加 密 的 密 钥 ,而 消息 接收 方 收 到 了 密 
文 , 并 使 用 密 钥 进行 解密 ,同时 可 以 确认 解密 后 得 到 的 信息 是 正确 的 (如 根据 解密 后 的 信息 
的 含义 ) ,在 这 种 情况 下 ,整个 密 文 就 提供 了 认证 功能 。 但 如 果 发 送 者 发 送 的 信息 是 无 意义 
的 字符 ,消息 接收 者 即便 正确 解密 了 ,也 无 法 通过 字符 的 含义 来 判定 所 收 到 的 消息 是 否 是 正 
确 的 。 
因此 ,如 果 考 虑 加 密 函 数 的 某 种 认证 功能 ,我 们 考虑 的 可 用 于 提供 认证 功能 的 认证 码 的 
函数 则 可 以 分 为 以 下 3 类 。 
。 加 密 函 数 : 使 用 消息 发 送 方 和 消息 接收 方 共享 的 密 钥 对 整个 消息 进行 加 密 , 则 整个 
消息 的 密 文 将 作为 认证 符 。 
。 消息 认证 码 (Message Authentication Code): 它 是 消息 和 密 钥 的 函数 ,用 于 产生 定 
长 度 值 ,该 值 将 作为 消息 的 认证 符 。 
。 散 列 函数 : 它 是 将 任意 长 的 消息 映射 为 定 长 的 hash 值 的 函数 ,以 该 hash 值 作 为 认 
证 符 。 


一 个 基本 的 认证 系统 模型 如 图 5. 1 所 示 。 


说 源 | 一 [认证 符 生 成 上 一 一 一 和 | 验证 认证 符 |--~[ 信 宿 
下 


区 条 


5.1 基本 的 认证 系统 模型 


5.2 消息 认证 码 


消息 认证 码 C(MAC) 是 一 种 使 用 密 钥 的 认证 技术 , 它 利 用 密 钥 来 生成 一 个 固定 长 度 的 短 
数据 块 ,并 将 该 数据 块 附加 在 消息 之 后 。 在 这 种 方法 中 假定 通信 双方 A 和 B 共享 密 钥 KK。 
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若 A 向 B 发 送 消息 M 时 , 则 A 使 用 消息 M 和 密 钥 K ,计算 MAC=C(K,M), 其 中 : 

。 M 一 输入 消息 ,可 变 长 

。C 一 MAC 函数 

。 开 一共 享 的 密 钥 

。 MAC 王 消息 认证 码 
消息 认证 码 MAC 为 消息 M 的 认证 符 ,MAC 也 称 为 密码 校 验 和 。 

如 图 5. 2 所 示 ,发 送 方 将 消息 M 和 MAC 一 起 发 送 给 接收 方 。 接 收 方 收 到 消息 后 , 假 
设 该 消息 为 M', 使 用 相同 的 密 钥 KK 进行 计算 得 出 新 的 MAC 二 CC(K,M') ,比较 MAC' 和 所 
收 到 的 MAC。 假 设 双 方 共享 的 密 钥 没有 被 泄露 , 则 比较 计算 得 出 的 MAC' 和 收 到 的 MAC 
的 结果 ,如 果 两 者 是 相同 的 话 , 则 可 以 认为 : 

(1) 接收 方 可 以 相信 消息 未 被 修改 。 因 为 车 攻击 者 算 改 了 消息 ,他 必须 同时 相应 地 修 
改 MAC 值 。 而 我 们 已 假定 攻击 者 不 知道 密 钥 ,所 以 他 不 知道 应 如 何 改变 MAC 才能 使 其 
与 修改 后 的 消息 相 一 致 。 

(2) 接收 方 可 以 相信 消息 来 自 真正 的 发 送 方 。 因 为 其 他 各 方 均 不 知道 密 钥 , 他 们 不 能 
产生 具有 正确 MAC 的 消息 。 

(3) 如 果 消 息 中 含有 消息 序列 号 ,那么 接收 方 可 以 相信 消息 的 顺序 是 正确 的 ,因为 攻击 
者 无 法 成 功 地 修改 序列 号 。 
接收 者 B 


K 
比较 


5.2 消息 认证 码 的 使 用 


从 使 用 密 钥 上 看 ,MAC 函数 与 加 密 函 数 类 似 ,需要 生成 MAC 方 和 验证 MAC 方 共享 
一 个 密 钥 。 但 它们 又 存在 本 质 的 区 别 , 区 别 之 一 为 MAC 算法 不 要 求 可 逆 性 ,而 加 密 算 法 必 
须 是 可 道 的。 一 般 而 言 ,MAC 函数 是 多 对 一 函数 ,其 定义 域 由 任意 长 的 消息 组 成 ,而 值 域 
由 所 有 可 能 的 MAC 和 密 钥 组 成 。 若 使 用 位 长 的 MAC, 则 有 2" 个 可 能 的 MAC, 而 及 
条 可 能 的 消息 ,其 中 mm 人 2" ,而 且 若 密 钥 长 为 &, 则 有 2* 种 可 能 的 密 钥 。 

例如 ,假定 使 用 100 位 的 消息 和 10 位 的 MAC ,那么 总 共有 2 不 同 的 消息 ,但 仅 有 2” 
种 不 同 的 MAC。 所 以 平均 而 言 , 同 一 MAC 可 以 由 2"/22 条 不 同 的 消息 产生 。 若 使 用 的 
密 钥 长 为 5 位 , 则 从 消息 集合 到 MAC 值 的 集合 有 2 三 32 种 不 同 的 映射 。 可 见 密 钥 的 位 数 
太 短 ,很 容易 通过 穷 举 进 行 攻 击 ,但 只 要 位 数 足 够 长 , 则 可 以 保证 其 安全 性 。 

图 5. 2 给 出 的 消息 认证 码 的 使 用 只 是 对 传送 消息 提供 单纯 的 认证 性 。 它 还 可 以 和 加 密 
函数 一 起 提供 消息 认证 和 保密 性 。 如 图 5. 3 所 示 ,发 送 方 在 加 密 消息 M 之 前 , 先 计 算 M 的 
认证 码 , 然 后 使 用 加 密 密 钥 将 消息 及 其 认证 码 一 起 加 密 ; 接收 方 收 到 消息 后 , 先 解密 得 到 消 
息 及 其 认证 码 ,再 验证 解密 得 到 的 消息 和 验证 码 是 否 匹配 :如果 匹配 则 表示 消息 在 传输 中 没 
有 被 改动 。 
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大 
图 5.3 结合 加 密 函 数 的 消息 认证 码 的 使 用 方法 


5.2.1 MAC 的 安全 要 求 


MAC 中 使 用 了 密 钥 ,这 点 和 对 称 密 钥 加 密 一 样 , 如 果 密 钥 泄 露 了 或 者 被 攻击 了 , 则 无 
法 保证 MAC 的 安全 性 。 在 基于 算法 的 加 密 函 数 中 ,攻击 者 可 以 尝试 所 有 可 能 的 密 钥 以 进 
行 穷 举 攻击 ,一 般 对 位 的 密 钥 , 穷 举 攻击 需要 2*，” 步 。 对 于 仅 依赖 于 密 文 的 攻击 , 若 给 定 
密 文 C, 攻 击 者 要 对 所 有 可 能 的 K; 计算 P; 二 Dk,(C), 直 到 产生 的 某 P; 具有 适当 的 明文 结 
构 为 止 (前 提 是 这 样 的 明文 结构 是 可 以 判断 的 ) 。 

MAC 函数 是 多 对 一 函数 ,这 就 意味 消息 的 取 值 空间 比 MAC 的 取 值 空间 大 , 则 一 定 存 
在 着 不 同 的 消息 会 对 应 于 相同 的 MAC。 假 设 MAC 所 使 用 的 密 钥 位 数 为 &, 计 算 所 得 的 
MAC 位 数 为 n。 若 二 n, 即 假定 密 钥 位 数 比 MAC 长 , 则 对 满足 MAC 一 Cu CM ) 的 M 和 
MAC ,密码 分 析 者 要 对 所 有 可 能 的 密 钥 值 K; 计算 MAC; 二 Ck, (M1) ,那么 至 少 有 一 个 密 钥 
会 使 得 MAC; 二 MAC, 。 因 为 & 个 密 钥 总 共 会 产生 2 个 MAC ,但 只 有 2"(2"<2*) 个 不 同 的 
MAC 值 ,所 以 不 同 密 钥 都 会 产生 正确 的 MAC, 而 攻击 者 却 不 知 其 中 哪 一 个 是 正确 的 密 钥 。 
平均 来 说 ,有 2/2 一 2 ”个 密 钥 会 产生 正确 的 MAC, 因 此 攻击 者 必须 重复 下 述 攻击 。 

(1) 第 1 轮 。 

。 给 定 M ,MAC, =Cxk (Mi)。 

。 对 所 有 2 个 密 钥 判断 MAC; 一 Cr (Mi )。 

。 匹配 数 汪 2 。 

(2) 第 2 轮 。 

。 给 定 Mz ,MAC: =Cxk (M;)。 

。 对 循环 1 中 找到 的 2* ”个 密 钥 判断 MAC;== Cxk, (Mz )。 

。 匹配 数 汪 24 ?于 。 


攻击 者 可 以 按 此 方法 不 断 对 密 钥 进行 测试 ,直到 将 匹配 数 缩小 到 足够 小 的 范围 。 平 均 
来 讲 , 若 二 aXn, 则 需 a 次 循环 。 例 如 ,如 果 使 用 80 位 的 密 钥 和 长 为 32 位 的 MAC ,那么 
第 1 次 循环 会 得 到 约 2* 个 可 能 的 密 钥 , 第 2 次 循环 会 得 到 约 2 "个 可 能 的 密 钥 ,第 3 次 循环 
则 得 到 唯一 一 个 密 钥 ,这 个 密 钥 就 是 发 送 方 所 使 用 的 密 钥 。 这 样 看 来 , 若 密 钥 的 长 度 小 于 或 
等 于 MAC 的 长 度 , 则 很 可 能 在 第 1 次 循环 中 就 得 到 一 个 密 钥 。 

由 此 可 见 ,如 果 密 钥 足 够 长 ,用 穷 举 方法 来 确定 MAC 的 密 钥 就 不 是 一 件 容易 的 事 。 

当然 ,以 上 的 穷 举 攻击 是 建立 在 算法 安全 强度 可 信 的 前 提 下 。 针 对 不 同 的 MAC 算法 ， 
攻击 者 可 能 不 需要 使 用 穷 举 攻击 即 可 找到 密 钥 。 攻 击 者 针对 下 面 的 MAC 算法 , 则 不 需要 
使 用 穷 举 攻击 即 可 获得 密 钥 信 息 。 

设 消息 M 二 (Xi | Xs 上 … | X,), 即 由 64 位 分 组 X; 连接 而 成 。 定 义 : 
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AM 天 全 区 BB 
Ci(M) = ErkLACVM)] 
其 中 四 是 异 或 (XOR) 运 算 , 加 密 算 法 是 电码 本 方式 实现 的 DES 算法 , 则 密 钥 长 为 56 位 ， 
MAC 长 为 64 位 。 若 攻击 者 获取 {M | CsCM) } ,并 使 用 穷 举 攻击 , 则 确定 K 须 执 行 至 少 2 
次 加 密 , 但 是 攻击 者 可 以 用 任何 期 望 的 Y ~Y,_1 替 代 Xi 一 X， ,用 Y。 替代 Xw 来 进行 攻 
击 ,其 中 Y,, 的 计算 方法 如 下 。 
Y, =Y@Y®-…BY BAM 
攻击 者 可 以 将 太一 Y 与 原来 的 MAC 连接 成 一 个 新 的 消息 M', 接 收 方 收 到 (M'， 
CMWD) 时 ,由 于 ACM')==Y 了 YOY 名 … 田 ,==A(MD ,因此 C4MD) 二 Ek [ACUM')], 接 收 者 会 认为 
该 消息 是 真实 的 。 用 这 种 办 法 ,攻击 者 可 以 随意 插入 任意 的 ,长 为 64X(m 一 了 ) 位 的 消息 。 
因此 ,一 个 安全 的 MAC 函数 应 具有 下 列 性 质 。 
。 若 攻击 者 知道 M 和 Ci(MD , 则 他 构造 满足 Ci(M') 二 Ci(MD) 的 消息 M' 在 计算 上 是 
不 可 行 的 。 
。 CCM) 应 是 均匀 分 布 的 , 即 对 任何 随机 选择 的 消息 M 和 M“ ,CeCM)=CeGM ) 的 概 
率 是 2", 其 中 是 MAC 的 位 数 。 
。 设 M' 是 M 的 某 个 已 知 的 变换 , 即 M' = COM) , 则 CCM) =CeCM' ) 的 概率 为 2"。 


5.2.2 基于 DES 的 消息 认证 码 


数据 认证 算法 (FIPS PUB 113) 是 使 用 最 广泛 的 MAC 算法 之 一 , 它 也 是 一 个 ANSI 标 
准 (X9. 17)。 该 算法 建立 在 DES 算 法 之 上 ,利用 了 密 文 链接 模式 (CBC) 对 消息 进行 加 密 处 
理 。 该 算法 在 实际 中 的 应 用 很 广泛 ,特别 是 在 银行 系统 中 。 
如 图 5.4 所 示 ,数据 认证 算法 取 初 始 值 为 0, 这 个 初始 值 没 有 实际 意义 ,只 是 用 于 第 1 次 计 
算 ,需要 认证 的 消息 被 划分 成 64 位 的 分 组 Di , D; .…,Dx, 若 最 后 分 组 不 足 64 位 , 则 在 其 后 填 
0 直至 成 为 64 位 的 分 组 。 利 用 DES 加密 算法 EE 和 密 钥 ,计算 认证 码 的 过 程 如 图 5.4 所 示 。 
O = Ex (D1) 
O, = Ex([D; ® O01]) 
O, = Ex([D; ® 0;]) 


On = Ex([LDw ® Ow 1]) 
不 输出 最 后 一 个 分 组 的 加 密 结 果 , 取 其 最 左边 的 n 位 作为 认证 码 。 


D1(64 位 ) Da(64 位 ) Di(64 位 ) Dx(64 们 ) 
1 
K(56 位 ) 一 一 | DES 加 密 | K 一 ->| DES 加 密 | … KK 一 | DES 加 密 | K 一 -| DES 加 密 
1 1 | 
O1(64 位 ) Ox64 们 ) 上 |- Oi Oy 


5.4 数据 认证 算法 
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5.3 Hash 国 数 


Hash 函数 (也 称 散 列 函 数 或 杂凑 函数 ) 是 将 任意 长 的 输入 消息 作为 输入 生成 一 个 固定 
长 的 输出 串 的 函数 , 即 h 二 HCM)。 这 个 输出 串 关 称 为 该 消息 的 散 列 值 (或 消息 摘要 、 杂 凑 
值 ) 。 散 列 函 数 通常 和 一 个 安全 的 Hash 函数 五 应 该 至 少 满足 以 下 几 个 条 件 。 

(1) 五 可 以 应 用 于 任意 长 度 的 数据 块 ,产生 固定 长 度 的 散 列 值 。 

(2) 对 每 一 个 给 定 的 输入 m, 计 算 互 (x) 是 很 容易 的 。 

(3) 给 定 Hash 函数 的 描述 ,对 于 给 定 的 散 列 值 ,找到 满足 态 (m) ==h 的 m 在 计算 上 
是 不 可 行 的 。 

(4) 给 定 Hash 函数 的 描述 ,对 于 给 定 的 消息 ma ,找到 满足 mp 关 m 且 HOms)= 二 HOm) 
的 ms 在 计算 上 是 不 可 行 的 。 

(5) 找到 任何 满足 互 (ma ) 三 瓦 (ma ) 且 加 天 ma 的 消息 对 (za ,zzz ) 在 计算 上 是 不 可 
行 的 。 

条 件 (1) 和 条 件 (2) 指 得 的 是 Hash 函数 的 * 单 向 ”(One-Way) 特 性 ,条 件 (3) 和 条 件 (4) 
是 对 使 用 散 列 值 的 数字 签名 方法 所 做 的 安全 保障 。 否 则 攻击 者 可 以 由 已 知 的 明文 及 相关 数 
字 签 名 任意 伪造 对 其 他 明文 的 数字 签名 。 条 件 (5) 的 主要 作用 是 防止 后 文 将 要 提 到 的 “生日 
攻击 ”。 通 常 我们 称 满 足 条 件 (1) 一 条 件 (4) 的 散 列 函数 为 “ 弱 散 列 函 数 ”, 若 能 同时 满足 条 件 
(5), 则 称 其 为 “ 强 散 列 函 数 ”。 

Hash 函数 主要 用 于 完整 性 校 验 和 提高 数字 签名 的 有 效 性 ,目前 已 有 很 多 方案 。 这 些 
算法 都 是 伪 随 机 函数 。 早 在 1978 年 ,Rabin 就 利用 DES 算法 ,使 用 密 文 分 组 链接 (CBC) 方 
式 , 提 出 一 种 简单 快速 的 散 列 函数 ,方法 如 下 所 示 。 

将 明文 M 分 成 固定 长 度 的 64 位 的 分 组 : ma ,ms，… ,ms。 使 用 DES 的 CBC 操作 模式 ， 
对 每 个 明文 分 组 进行 加 密 , 令 ho 二 初始 值 ,hi 二 Esi[Lhi-1j, 最 后 散 列 值 为 hi, 这 个 方法 和 
第 5.2.2 节 中 的 基于 DES 的 MAC 算法 类 似 , 但 不 同 的 是 该 算法 中 的 加 密 没有 使 用 任何 密 
钥 。 但 需要 指出 的 是 ,使 用 Rabin 散 列 函数 的 数字 签名 是 不 安全 的 ,已 经 发 现 可 以 在 有 限 的 
计算 范围 内 ,不 通过 获得 签名 私 钥 的 方法 即 可 实现 伪造 签名 。 

好 的 散 列 函数 的 输出 以 不 可 辨别 的 方式 依赖 于 输入 。 任 何 输入 串 中 单个 位 的 变化 ,将 
会 导致 输出 位 串 中 大 约 一 半 的 位 发 生变 化 。 其 处 理 思 想 是 先 要 将 明文 分 成 固定 长 度 的 明文 
分 组 ,再 对 每 个 分 组 做 相同 的 处 理 ,比较 有 名 的 有 MD5、Ripend160、SHA、Whirlpool 等 算 
法 。 所 有 的 散 列 函 数 都 具有 图 5. 5 中 的 处 理 结构 ,这 种 结构 称 为 迭代 Hash 函数 , 它 是 由 
Merkle 提出 的 。 其 中 的 三 算 法 即 是 散 列 函数 中 对 分 组 进行 迭代 处 理 的 压缩 函数 。 散 列 函 
数 重 复 使 用 压缩 函数 f, 它 的 输入 是 前 一 步 得 出 的 位 输出 ( 称 为 链接 值 ) 和 一 个 5 位 消息 
分 组 ,输出 为 一 个 位 分 组 。 链 接 值 的 初始 值 由 算法 在 开始 时 指定 ,其 终 值 即 为 散 列 值 。 这 
样 ,一 般 结构 的 Hash 函数 可 归纳 如 下 : 

CV。 == IV = nn 位 初始 值 
CV 二 CCW a 
H(M) = CV 
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其 中 Hash 函数 的 输入 为 消息 M, 经 填充 后 的 消息 分 成 荆 个 分 组 ,分 别 是 Yo ,Yi ，… ,YL-1。 


CV 
CV 了 


IV= 初 始 值 _CV= 链 接 值 Y= 第 ;个 输入 分 组 所 压缩 算法 
三 输入 分 组 数 = 散 列 值 的 位 长 b= 输入 分 组 的 位 长 


图 5.5 Hash 函数 的 一 般 结构 


Hash 函数 和 MAC 函数 不 同 , 不 需要 使 用 密 钥 , 因 此 也 觉得 了 Hash 函数 无 法 像 图 5. 1 
中 所 示 的 那样 单独 提供 对 消息 的 认证 ,通常 它 和 数字 签名 结合 使 用 来 提供 认证 性 。 在 网 络 
安全 通信 中 ,Hash 函数 和 对 称 密码 、 非 对 称 密码 结合 使 用 以 提供 不 同 的 安全 服务 。 图 5. 6 
给 出 了 几 种 基本 应 用 。 


发 送 者 A 接收 者 B 
M 下 "| M -人 四 
一 @ -本 一 人 本 
PR, PU, 
(a) 
发 送 者 A 接收 者 B 
M 下 可 M -® 
a 比较 
x 天 


(b, 
发 送 者 A 接收 者 B 


En 


(9) 
图 5.6 Hash 的 基本 应 用 


图 5.6(a) 给 出 了 Hash 函数 和 数字 签名 的 典型 使 用 方法 。 对 消息 M 的 数字 签名 通常 
不 是 直接 对 消息 进行 计算 ,而 是 先 使 用 Hash 函数 得 到 消息 的 散 列 值 ,再 使 用 发 送 方 的 签名 
私 钥 PR。 对 代表 消息 的 散 列 值 进行 签名 ,这 样 既 可 以 提供 消息 的 认证 性 ,又 可 以 保证 效率 。 
图 5.6(b) 所 给 出 的 消息 认证 方式 和 MAC 有 点 类 似 ,因为 Hash 函数 不 使 用 密 钥 ,如 果 直 接 
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对 消息 进行 散 列 值 计算 ,并 和 消息 进行 连接 传送 , 则 攻击 者 很 容易 算 改 消息 并 相应 地 重新 计 
算 散 列 值 。 因 此 ,对 于 计算 出 来 的 散 列 值 ,使 用 密 钥 加 密 的 方法 则 可 以 避免 发 生 上 述 问题 ， 
攻击 者 即便 自 改 了 消息 ,也 因为 没有 相应 的 加 密 密 钥 伪造 消息 散 列 值 的 密 文 。 图 5. 6(c) 中 
提供 的 安全 服务 是 保密 性 和 认证 性 。 除 此 之 外 ,根据 应 用 需求 提供 , Hash 函数 还 可 以 和 其 
他 密码 函数 结合 使 用 提供 不 同 的 应 用 模式 。 


5.3.1 散 列 函数 的 安全 要 求 


将 第 5. 3 节 中 给 出 的 安全 Hash 函数 需要 满足 的 后 面 3 个 条 件 重新 描述 如 下 ( 即 是 
Hash 函数 的 安全 要 求 ) 。 

(1) 单 向 性 : 对 任何 给 定 的 散 列 码 ,找到 满足 互 (z) 一 关 的 在 计算 上 是 不 可 行 的 。 

(2) 抗 弱 碰 撞 性 : 对 任何 给 定 的 消息 z, 找 到 满足 y 关 + 且 昌 (xz) 二 HG(y) 的 y 在 计算 上 
是 不 可 行 的 。 

(3) 抗 强 碰撞 性 : 找到 任何 满足 也 (x) 二 HH(y) 的 偶 对 (zx,y) 在 计算 上 是 不 可 行 的 。 

在 图 5.5 所 示 的 一 般 结构 的 Hash 函数 中 ,其 输入 消息 被 划分 成 工 个 固定 长 度 的 分 组 ， 
每 一 分 组 长 为 位 ,最 后 一 个 分 组 不 足 2 位 时 需 填 充 为 2 位 ,最 后 一 个 分 组 包含 输入 的 总 长 
度 。 由 于 输入 中 包含 长 度 , 所 以 攻击 者 必须 找 出 具有 相同 散 列 值 且 长 度 相 等 的 两 条 消息 ,或 
者 找 出 两 条 长 度 不 等 但 加 入 消息 长 度 信息 后 散 列 值 相同 的 消息 ,从 而 增加 了 攻击 的 难度 。 
Merkle 和 Damgard 发 现 ,如 果 压 缩 函 数 具有 抗 碰撞 能 力 , 那 么 迭代 Hash 函数 也 具有 抗 碰 
撞 能 力 , 因 此 Hash 函数 常 使 用 上 述 迭 代 结 构 , 这 种 结构 可 用 于 对 任意 长 度 的 消息 产生 安全 
Hash 函数 。 

1. 生日 攻击 (Birthday Attack) 

如 果 攻 击 者 希望 伪造 消息 M 的 签名 来 欺骗 接收 者 , 则 他 需要 找到 满足 HCM)= HCM) 
的 M 来 替代 M。 对 于 生成 64 位 散 列 值 的 散 列 函数 ,平均 需要 尝试 2” 次 以 找到 M'。 但 是 
建立 在 生日 悖 论 上 的 生日 攻击 法 , 则 会 更 有 效 。 

对 于 上 述 问题 换 种 说 法 : 假设 一 个 函数 有 nn 个 函数 值 , 且 已 知 一 个 函数 值 H(x)。 任 选 
& 个 任意 数 作为 函数 的 输入 值 , 则 A 必须 为 多 大 才能 保证 至 少 找到 一 个 输入 值 y 且 H (x)= 
HH(y) 的 概率 大 于 0. 5? 

对 于 任意 的 y, 能 够 满足 H(z) 二 HH(y) 的 概率 是 1/n, 反 之 ,满足 有 (zx) 隆 H(y) 的 概率 
为 1 一 1/n。 对 于 所 选 的 & 个 任意 的 输入 值 y 都 没有 一 个 满足 态 (zx) 二 HH(y) 的 概率 则 是 
(1 一 1/n)*。 这 样 , 至 少 有 一 个 y 满足 及 (xz) 二 HH(y) 的 概率 是 1 一 (1 一 1/n)*。 

二 项 式 定理 可 描述 如 下 : 


三 二 


2 31 

当 a 趋 近 0 时 ,(1 一 a)* 趋 近 1 一 ka, 因 此 至 少 有 一 个 y 满 足 甩 (xz) 二 有 H(y) 的 概率 约 为 
1 一 一 1/n)* 守 1 一 (1 一 k/n) 二 k/n。 当 > n/2 时 ,这 个 概率 将 超过 0.5。 

车 散 列 值 为 m 位 , 则 可 能 有 2” 个 散 列 值 .使 上 述 概 率 为 0.5 的 上 为 k= 二 2”?。 即 对 于 
生成 64 位 散 列 值 的 散 列 函 数 而 言 ,攻击 者 至 少 需要 尝试 2” 对 明文 ,才能 有 大 约 0. 5 的 成 功 
概率 。 这 个 结果 似乎 表明 选择 64 位 的 散 列 函数 是 安全 的 ,但 事实 并 非 如 此 。Yuval 提出 的 
“生日 悖 论 ” 对 于 之 前 提 到 的 Rabin 散 列 函数 的 数字 签名 攻击 ,只 需要 2” 次 的 运算 。 
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在 讨论 Yuval 的 方法 之 前 , 先 来 解释 一 下 “生日 悖 论 ” 的 数学 背景 。 我 们 可 以 这 样 描述 
这 类 问题 : & 为 多 大 时 ,在 & 个 人 中 至 少 找到 两 个 人 的 生日 相同 的 概率 大 于 0. 5? 不 考虑 
2 月 29 日 ,并 且 假定 每 个 生日 出 现 的 概率 相同 。 

首先 上 个 人 的 生日 排列 的 总 数目 是 365:。 这 样 ,k 个 人 有 不 同 生日 的 排列 数 为 : 

3651 
365— A)1 
因此 ,个 人 有 不 同 生日 的 概率 为 不 重复 的 排列 数 除 以 总 数目 ,得 到 : 
3651 

(365—k) 1(365)" 
则 ,& 个 人 中 ,至少 找 到 两 个 人 同日 出 生 的 概率 是 : 


P(365,k) = 1—Q(365,k)=1 


N= 365X364X.… XxX(365—k 二 1)= 


Q(365,k) = 


3651 
(365—k)1(365)* 


当 二 100 时 , P(365,100) 二 0. 9999997, 这 意味 着 只 有 一 个 重复 的 概率 接近 于 百 分 百 。 如 
果 只 考虑 同日 出 生 的 概率 超过 0. 5 时 , 则 根据 P(365,23) 王 0. 5037,& 只 需要 为 23。 

Yuval 的 生日 攻击 法 描述 如 下 。 

(1) 合法 的 签名 方 对 于 其 认为 合法 的 消息 愿意 使 用 自己 的 私 钥 对 该 消息 生成 的 痉 位 的 
散 列 值 进行 数字 签名 。 

(2) 攻击 者 为 了 伪造 一 份 有 (1) 中 的 签名 者 签名 的 消息 ,首先 产生 一 份 签名 方 将 会 同意 
签名 的 消息 ,再 产生 出 该 消息 的 2"? 种 不 同 的 变化 , 且 每 一 种 变化 表达 相同 的 意义 (如 : 在 
文字 中 加 入 空格 .换行 字符 )。 然 后 ,攻击 者 再 伪造 一 条 具有 不 同意 义 的 新 的 消息 ,并 产生 出 
该 伪造 消息 的 2" 种 变化 。 

(3) 攻击 者 在 上 述 两 个 消息 集合 中 找 出 可 以 产生 相同 散 列 值 的 一 对 消息 。 根 据 “ 生 日 
悖 论 ? 理 论 ,能 找到 这 样 一 对 消息 的 概率 是 非常 大 的 。 如 果 找 不 到 这 样 的 消息 ,攻击 者 将 再 
产生 一 条 有 效 的 消息 和 伪造 的 消息 ,并 增加 每 组 中 的 明文 数目 ,直至 成 功 为 止 。 

(4) 攻击 者 用 第 一 组 中 找到 的 明文 提供 给 签名 方 要 求 签名 ,这 样 , 这 个 签名 就 可 以 被 
用 来 伪造 第 二 组 中 找到 的 明文 的 数字 签名 。 这 样 , 即 使 攻击 者 不 知道 签名 私 钥 也 能 伪造 
签名 。 

生日 攻击 表明 Hash 值 的 长 度 必 须 达 到 一 定 的 值 ,如 果 过 短 , 则 容易 受到 穷 举 攻击 ,如 
一 个 40 位 的 Hash 值 , 只 需要 穷 举 一 百 万 次 。 一 般 建 议 Hash 值 需 要 160 位 ,SHA-1 的 最 
初 选择 是 128 位 ,后 来 改 为 160 位 ,这 就 是 为 了 防止 利用 生日 攻击 原理 穷 举 Hash 值 。 

2. 中 间 相 遇 攻 击 法 (Meet in the Middle Attack) 

中 间 相 遇 攻击 是 生日 攻击 的 一 种 变形 , 它 不 比较 散 列 值 , 而 是 比较 处 理 链 中 的 中 间 变 
量 。 这 种 攻击 主要 适用 于 攻击 具有 分 组 链接 结构 的 Hash 函数 。 其 基本 原理 为 : 将 消息 分 
成 两 部 分 ,对 伪造 消息 的 第 一 部 分 从 初始 值 开始 逐步 向 中 间 阶 段 产 生 ni 个 变量 ; 对 伪造 消 
息 的 第 二 部 分 从 Hash 结果 开始 逐步 退回 中 间 阶 段 产生 xr; 个 变量 。 在 中 间 阶 段 有 一 个 匹 
配 的 概率 与 生日 攻击 成 功 的 概率 一 样 。 

这 种 攻击 方法 让 攻击 者 可 以 仅 根据 已 知 的 明文 及 其 数字 签名 ,来 任意 伪造 其 他 明文 的 
数字 签名 。 

(1) 根据 已 知 数字 签名 的 明文 , 先 产 生 散 列 函 数值 h。 
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(2) 再 根据 意图 伪造 签名 的 明文 ,将 其 分 成 每 个 64 位 长 的 明文 分 组 Qi,Q，… ,Qn-:。 
Hash 函数 的 压缩 算法 为 六 二 Ea[LA- ,1 入 过 N 一 2。 

(3) 任意 产生 2 个 不 同 的 X, 对 每 个 X 计算 ExLnv-s]。 同 样 地 ,任意 产生 2” 个 不 同 
的 了 ,对 每 个 并 计算 DyLGj],D 是 相对 应 5 的 解密 函数 。 

(4) 根据 * 生 日 悖 论 ”, 有 很 大 的 概率 可 以 找到 很 多 XX 及 Y 满足 Ex[hw,]==Dy[G]。 

(5) 如 果 找 到 了 这 样 的 X 和 了 ,攻击 者 重新 构造 一 个 明文 : Qi ,Qs，…,Qy-s,XX,Y。 这 
个 新 的 明文 的 散 列 值 也 为 ,因此 攻击 者 可 以 使 用 已 知 的 数字 签名 为 这 个 构造 的 明文 伪造 
新 的 明文 的 签名 。 


5.3.2 MDs 


MD5(Message-Digest Algorithm 5) 是 由 Ronald L. Rivest(RSA 算法 中 的 R) 在 20 世 
纪 90 年 代 初 开发 出 来 的 ,经 MD2、MD3 和 MD4 发 展 而 来 。 它 比 MD4 复杂 ,但 设计 思想 类 
似 , 同 样 生成 一 个 128 位 的 信息 散 列 值 。 其 中 ,MD2 是 为 8 位 计算 机 做 过 设计 优化 的 ,而 
MD4 和 MD5 却 是 面向 32 位 的 计算 机 。 

Osrschot 和 Wiener 曾 为 了 攻击 MD5 ,使 用 穷 举 攻击 搜寻 碰撞 的 函数 ,并 耗费 一 千 万 美 
元 设计 了 一 台 碰 撞 搜 寻 计 算 机 , 它 能 在 24 天 内 找到 一 个 碰撞 。 但 即便 如 此 ,从 1991 年 起 的 
十 多 年 里 ,并 没有 出 现 蔡 代 MD5 的 算法 或 MD6 ,并 且 , 由 于 使 用 MD5 算法 无 需 支 付 任何 专 
利 费 ,所 以 在 实际 中 的 应 用 非常 广泛 。 直 到 2004 年 8 月 ,在 美国 召开 的 国际 密码 学 会 议 
(Crypto'2004) 上 ,王小云 教授 给 出 破解 MD5 .HAVAL-128 .MD4 和 RIPEMD 算法 的 报告 。 
她 给 出 了 一 个 非常 高 效 的 寻找 碰撞 的 方法 ,可 以 在 数 个 小 时 内 找到 MD5 的 碰撞 。 

MDS 算法 的 描述 

MD5 的 输入 可 以 是 任意 长 度 的 消息 ,其 输出 是 128 位 的 消息 散 列 值 。 由 于 MD5 的 设 
计 是 针对 32 位 处 理 器 的 ,因此 MD5 内 的 所 有 基本 运算 都 是 针对 32 位 运算 单元 的 。 其 算法 
的 主要 过 程 如 下 。 

(1) 填充 消息 : 任意 长 度 的 消息 首先 需要 进行 填充 处 理 , 使 得 填充 后 的 消息 总 长 度 与 
448 模 512 同 余 ( 即 填充 后 的 消息 长 度 三 448 mod 512)。 填 充 的 方法 是 在 消息 后 面 添 加 一 
位 1, 后 续 都 是 0。 

(2) 添加 原始 消息 长 度 : 在 填充 后 的 消息 后 面 再 添加 一 个 64 位 的 二 进 制 整数 表示 在 填 
充 前 原始 消息 的 长 度 。 这 时 经 过 处 理 后 的 消息 长 度 正 好 是 512 位 的 倍数 。 

(3) 初始 值 (IV) 的 初始 化 : MD5 中 有 4 个 32 位 缓冲 区 ,用 (A,B.C,.D) 表 示 , 用 来 存储 
散 列 计算 的 中 间 结 果 和 最 终结 果 , 缓 冲 区 中 的 值 被 称 为 链接 变量 (Chaining Variable)。 首 
先 将 其 分 别 初 始 化 为 A 二 0x01234567, B= 二 0x89abcdef, C= 0xfedcba98,D= 0x76543210。 
这 些 值 以 高 端 格式 存储 , 即 字 节 的 最 高 有 效 位 存 于 低地 址 字 节 位 置 。 

(4) 以 512 位 的 分 组 为 单位 对 消息 进行 循环 散 列 计算 ,如 图 5.7 所 示 , 经 过 处 理 的 消 
息 ,以 512 位 为 单位 ,分 成 N 个 分 组 ,为 Yo, ,YNw-i。MD5 对 每 个 分 组 进行 散 列 处 理 。 
每 一 轮 的 处 理会 对 (A,B,C,D) 进 行 更 新 。 

(5) 输出 散 列 值 : 所 有 的 N 个 分 组 消息 都 处 理 完 后 ,最 后 一 轮 得 到 的 4 个 缓冲 区 的 值 
即 为 整个 消息 的 散 列 值 。 


的 
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”原始 消息 长 
于 充 位 。 度 (64 们 ) 
= NX512 位 一 
= 论 位 3 \ 
消息 100…00| 工 
一 512 位 一 一 一 512 位 一 一 | 一 512 位 一 一 一 512 位 一 
态 加 | 7 | … Wh 
512 
128 128 位 的 
已 
CVM- 散 列 值 


5.7 ”MDS5s 主要 处 理 过 程 


在 第 (4) 步 中 的 循环 散 列 计算 共有 4 轮 ( 见 图 5. 8) ,每 轮 循环 都 很 相似 ,进行 16 次 操 
作 。 在 第 1 轮 的 第 1 个 步骤 开始 处 理 时 ,将 A、B 和 C、D 的 值 保存 在 另外 的 单元 ,假设 为 
AA、BB、CC 和 DD 中 。 然 后 每 次 操作 对 A、B、C 和 
D 中 的 其 中 3 个 做 1 次 非 线 性 函数 运算 ,然后 将 所 
得 结果 加 上 第 4 个 变量 、 消 息 的 一 个 子 分 组 和 一 个 
常数 ,再 将 所 得 结果 向 右 环 移 一 个 不 定 的 数 。 最 后 CD 全 
得 到 的 结果 再 加 上 之 前 保存 在 AA、BB、CC 或 DD 
中 的 值 , 这 里 的 “十 ? 指 的 是 mod 22 的 模 加 和 运算。 得 
到 的 新 的 4 个 32 字 作 为 A、B、C 和 D 的 新 的 值 。 
然后 继续 使 用 下 一 分 组 进行 运算 ,最 后 输出 的 A、 
BC 和 的 级 联 即 是 整个 消息 的 128 位 散 列 值 。 

每 次 操作 中 用 到 的 4 个 非 线 性 函数 为 : 
PX ZY = KEYY) RIGZY 
G(XY,2) = (XEZ) | (VE (~ 2)) 
HX = 
TX 2 YR 

其 中 ,& 是 与 ,| 是 或 ,一 是 非 ,是 异 或 。 

将 每 次 处 理 的 512 位 的 消息 分 组 再 分 成 32 位 

一 组 , 共 16 组 ,表示 为 Mi.k 二 0,…,15, 则 在 每 次 的 4 轮 运算 中 的 计算 方法 是 ， 

FF(A,B,C,D,Mi,s) 表示 A=B+((A+(F(B,C,D)+M +t) < 和 >) 

GG(A,B,C,D,Mj,ssti) 表示 A=B+(A+(GCGB,C,D) 二 Mi 二) < 和 >) 

HH(A,B,C,D,Mj,ssti) 表示 A=B+((A+(H(B.C.D)+M +4) <;) 

11(A,B,C,D,M;,ssti) 表示 A=B+((A+(I(B,C,D)+M+4) < 和 >) 

其 中 “< 和 ”表示 循环 左 移 * 位 。 则 4 轮 (每 轮 16 步 , 共 64 步 ) 的 操作 如 下 所 示 。 

(1) 第 1 轮 。 

FF(A,B,C,D,M, ,7,0xd76aa478) 

FF(D,A.,B,C,M, ,12.0xe8c7b756) 


GG(4,B.C,D,MIK],s:![i] 


GG(4,B,C,D,MIK],s,![i] 


CVial 


图 5.8 MDS5 算法 一 次 循环 的 处 理 过 程 
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FF(CC,D,A,B,M: ,17,0x242070db) 
FF(B,C,D.A,Ms: ,22.0xclbdceee) 
FF(A,B,C,D,M, ,7,0xf57cOfaf) 
FF(D,A,B,C,M;: ,12,0x4787c62a) 
FF(C,D,A,B,Ms: ,17,0xa8304613) 
FF(B,C,D,A,M;,22,0xfd469501) 
FF(A,B,C,D,Ms,7,0x698098d8) 
FF(D,A,B,C,M, ,12,0x8b44f7af) 
FFCC,D,A,B,Mio,17,0xffff5bbl) 
FF(B,C,D,A,Mi ,22,0x895cd7be) 
FF(A,B,C,D,Miz ,7,0x6b901122) 
FF(D,A,B,C,M's,12,0x{d987193) 
FF(C,D,A,B,M, ,17,0xa679438e) 
FF(B,C,D,A,M's ,22,0x49b40821) 
(2) 第 2 轮 。 

GG(A,B,C,D,M ,5,.0xf6le2562) 
GG(CD,A,B,C, Me ,9,0xc040b340) 
GG(C,D,A,B,M ,14,0x265e5a51) 
GG(B,C,D,A,M, ,20,0xe9b6c7aa) 
GG(A,B,C,D,Ms ,5,0xd62f105d) 
GG(D,A,B,C,M'o ,9,0x02441453) 
GG(C,D,A.,B,M's ,14,0xd8ale681) 
GG(B,C.D.A.,M, ,20,0xe7d3fbc8) 
GG(A,B.C,D,M, ,5,0x2lelcde6) 
GG(CD,A,B,C,M ,9,0xc33707d6) 
GG(C,D,A.B,M; ,14.0xf4d50d87) 
GG(B,C,D,A,Ms ,20,0x455al4ed) 
GG(A,B,C,D,M: ,5,0xa9e3e905) 
GG(D,A.,B.,C,M, ,9,0xfcefa3f8) 
GG(CC,D,A,B,M; ,14,0x676f02d9) 
GG(B,C,D.A,M', ,20,0x8d2a4c8a) 
(3) 第 3 轮 。 

HH(CA,B,C,D,Ms ,4,0xfffa3942) 
HHCD,A,B,C,Ms,11,0x8771f681) 
HH(C,D,A,B,M ,16,0x6d9d6122) 
HH(B,.C.D,A.M .23,0xfde5380c) 
HH(A.B.C.D.M' .4.0xa4beea44) 
HH(D.A.B.C.M, ,11.0x4bdecfa9) 
HHCC,D.A,B,M;,16.0xf6bb4b60) 
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HH(B.,C,D,A.,M' ,23,0xbebfbc70) 
HH(A,B,C,D,M's ,4,0x289b7ec6) 
HH(D.,A.,B,C,M, ,11,0xeaal27fa) 
HH(C,D,A,B,M; ,16,0xd4ef3085) 
HH(B,C,D,A,Ms: ,23,0x04881d05) 
HH(A,B,C,D,M, ,4,0xd9d4d039) 
HH(D,A,B,C,M';,11,0xe6db99e5) 
HH(C,D.,A,B,M's ,16,0xlfa27cf8) 
HH(B,C,D,A,M, ,23,0xc4ac5665) 
(4) 第 4 轮 。 

II(A,B,C,D,M, ,6,0x{4292244) 
II(D,A,B,C,M, ,10,0x432aff97) 
II(C,D,A,B,M', ,15,0xab9423a7) 
II1(B,C,D,A,Ms: ,21,0xfc93a039) 
II(A,B.,C,D,M', ,6,0x655b59c3) 
II(D,A,B,C,M; ,10,0x8f0ccc92) 
II(C,D,A,B,M, ,15,0xffeff47d) 
II(CB,C,D,A,M,21,0x85845ddl) 
II(A,B,C,D,Ms .6,0x6fa87e4f) 
IICD,A,B,C,Mis ,10,0xfe2ce6e0) 
IICC,D,A,B,Me,15,0xa3014314) 
IICB,C,D,A,Mis,21,0x4e0811al) 
II(A,B,C,D,M4,6,0xf7537e82) 
II(D,A,B,C,M ,10,0xbd3af235) 
IICC,D,A,B,M:,15,0x2ad7d2bb) 
I1(B,C,D,A,M, ,21,0xeb86d391) 
常数 4 可 以 如 下 选择 : 在 第 i 步 中 ,t; 是 2”Xabs(sin( 引 ) 的 整数 部 分 ,i 的 单位 是 弧度 。 


5.3.3 SHA-S12 


美国 国家 标准 局 (NIST) 为 了 配合 数字 签名 标准 (DSA) ,在 1993 年 对 外 公布 了 安全 散 
列 函数 (SHA), 并 公布 为 联邦 信息 处 理 标准 (FIPS 180), 其 设计 的 方法 是 依据 已 有 的 MD4 
算法 ,所 以 其 基本 框架 与 MD4 类 似 。1995 年 NIST 发 布 了 SHA 的 修订 版 (FIPS 180-1)， 
通常 称 之 为 SHA-1,SHA-1 产生 160 位 的 散 列 值 。2002 年 ,NIST 再 次 发 布 了 修订 版 (FIPS 
180-2) ,其 中 给 出 了 3 种 新 的 SHA 版 本 , 散 列 值 长 度 依次 为 256、384 和 512 位 ,分 别称 作 
SHA-256、SHA-384 和 SHA-512( 见 表 5. 1)。 这 些 新 的 版 本 和 SHA-1 具有 相同 的 基础 结 
构 , 使 用 了 相同 的 模 算 术 和 二 元 逻辑 运算 。2005 年 ,NIST 宣布 了 将 逐步 废除 SHA-1, 到 
2010 年 ,逐步 转 而 使 用 SHA 的 其 他 更 高 位 长 的 版 本 。2005 年 ,王小云 带领 的 研究 小 组 研 
究 出 了 一 种 攻击 ,用 2” 次 操作 可 以 找到 两 个 独立 的 消息 使 它们 有 相同 的 SHA-1 值 , 而 以 前 
认为 要 找到 一 个 SHA-1 碰撞 需要 2” 次 的 操作 ,所 需 操作 大 为 减少 。 这 意味 着 ,对 于 SHA 
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的 使 用 需要 选择 更 高 位 数 的 版 本 。 
表 5.1 SHA 参数 比较 


SHA-1 SHA-256 SHA-384 SHA-512 
散 列 值 长 度 160 256 384 512 
消息 长 度 <2% we ee a 
分 组 长 度 512 512 1024 1024 
字 长 度 32 中 64 64 
步骤 数 80 64 80 80 
安全 性 80 128 192 256 
注 : 
(1) 所 有 的 长 度 以 比特 为 单位 。 
(2) 安全 性 是 指 对 输出 长 度 为 n 位 Hash 函数 的 生日 攻击 产生 碰 挤 的 工作 量 大 约 为 2w2 。 


1. SHA-512 算法 

该 算法 的 输入 是 最 大 长 度 小 于 2” 位 的 消息 ,输出 是 512 位 的 散 列 值 ,输入 消息 以 1024 
位 的 分 组 为 单位 进行 处 理 。 输 出 摘要 的 总 体 过 程 遵循 图 5. 9 所 示 的 一 般 结构 。 和 MD5 类 
似 ,其 过 程 包含 下 列 步 又 。 


.， 原始 消息 长 度 
填充 位 (128 位 ) 


一 NX1024 位 一 
二 1 位 位 二 
消息 100…00 | 工 
一 一 1024 位 -= 一 1024 位 一 一 | 一 一 1024 位 -一 一 一 1024 位 一 一 
hn 页 i a wi 


512 位 的 
散 列 值 


图 5.9 SHA-512 主要 处 理 过 程 


(1) 对 消息 进行 填充 。 对 原始 消息 进行 填充 使 其 长 度 与 896 模 1024 同 余 ( 即 填充 后 的 
消息 长 度 寺 896 mod 1024) 。 即 使 原始 消息 已 经 满足 上 述 长 度 要 求 , 仍 然 需要 进行 填充 , 因 
此 填充 位 数 在 1 一 1024 之 间 。 填 充 部 分 由 一 个 1 和 后 续 的 0 组 成 。 

(2) 添加 消息 长 度 信息 。 在 填充 后 的 消息 后 添加 一 个 128 位 的 块 ,用 来 说 明 填 充 前 消 
息 的 长 度 ,表示 为 一 个 无 符号 整数 (最 高 有 效 字 节 在 前 ) 。 至 此 ,产生 了 一 个 长 度 为 1024 位 
整数 倍 的 扩展 消息 。 如 图 5. 9 所 示 ,扩展 的 消息 被 表示 为 一 串 长 度 为 1024 位 的 消息 分 组 
症 ,Ys,…,Yw, 因 此 扩展 消息 的 长 度 为 NX1024 位 。 

(3) 初始 化 Hash 缓冲 区 。Hash 函数 计算 的 中 间 结 果 和 最 终结 果 保 存在 512 位 的 缓冲 
区 中 ,分 别 用 64 位 的 寄存 器 (A,B,C,D,E,F,G,H) 表 示 , 并 将 这 些 寄存 器 初始 化 为 下 列 64 
位 的 整数 (十 六 进 制 值 ) 。 

A=0x6A09E667F3BCC908 E=0x510E527FADE682D1 


第 5 章 消息 认证 与 数字 签名 137 


B=0xBB67AE8584CAA73B F=0x9B05688C2B3E6C1F 
C=0x3C6EF372FE94F82B G=0xlF83D9ABFB41BD6B 
D=0xA54FF53A5F1D36F1 H=0x5BE0CD19137E2179 


这 些 值 以 高 端 格 式 存 储 , 即 字 的 最 高 有 效 字 节 存 于 低地 址 字 节 位 置 (最 左边 )。 这 些 字 
的 获取 方式 如 下 : 前 8 个 素数 取 平 方 根 , 取 分 数 部 分 的 前 64 位 。 

(4) 以 1024 位 分 组 (16 个 字 ) 为 单位 处 理 消息 。 处 理 算法 的 核心 是 需要 进行 80 轮 运算 
的 模块 , 即 图 5.9 中 的 下 。 图 5. 10 给 出 了 下 的 逻辑 原理 : 每 一 轮 都 把 512 位 缓冲 区 的 值 
ABCDEFGH 作为 输入 ,并 更 新 缓冲 区 的 值 。 第 1 轮 时 ,缓冲 区 的 值 是 中 间 的 Hash 值 
日 ;-!。 每 一 轮 使 用 一 个 64 位 的 值 W, (0 过 :过 79) 该 值 由 当前 被 处 理 的 1024 位 消息 分 组 Y; 
导出 ,导出 算法 是 后 面 将 要 讨论 的 消息 调度 算法 。 每 一 轮 还 将 使 用 常数 K,(0 达 :过 79)。 这 
些 常 数 的 获得 方法 : 前 80 个 素数 取 3 次 根 , 取 小 数 部 分 的 前 64 位 。 这 些 常数 提供 了 64 位 
随机 串 集合 ,可 以 消除 输入 数据 里 的 任何 规则 性 。 第 80 轮 的 输出 和 第 1 轮 的 输入 瓦 -; 相 
加 产生 理 ;。 缓 冲 区 里 的 8 个 字 和 HH; 1 里 的 相应 字 独 立 进 行 模 2 的 加 法 运算 。 

万 


1024 
消息 调度 处 理 


A Bl oD) EI on 
EE 是 和 


所 二 | 第 肉 轮 函数 处 理 到 
于 了 半 站 渍 | Li 


al el cl Dl al oa 


图 5.10 SHA-512 每 一 步 的 核心 处 理 


(5) 输出 。 所 有 的 N 个 1024 位 分 组 都 处 理 完 以 后 ,最 后 输出 的 即 是 512 位 的 消息 散 列 值 。 
从 总 体 上 看 ,SHA-512 的 运算 如 下 所 示 。 

H, =1V 

H; = SUMa(H; 1, ABCDEFGH,) 

MD = Hy 
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其 中 ,IV 为 上 述 算法 第 (3) 步 里 定义 的 ABCDEFGH 缓冲 区 的 初始 值 ; ABCDEFGH, 为 第 i 
个 消息 分 组 处 理 的 最 后 一 轮 的 输出 ; N 为 消息 (包括 填充 和 长 度 域 ) 里 的 分 组 数 ; SUMe: 为 
对 输入 对 里 的 每 个 字 进 行 独立 的 模 2* 加 ; MD 为 最 后 的 消息 散 列 值 。 

2. 消息 调度 处 理 

每 一 轮 的 W,(0: 过 79) 的 值 由 当前 被 处 理 的 1024 位 消息 分 组 Y; 导出 。 其 导出 算法 
如 图 5. 11 所 示 ,前 16 个 W,(0<t<15) 直 接 取 自 当前 消息 分 组 的 16 个 字 。 余 下 的 值 按 如 
下 方式 导出 : 

W, = oi? (Wz) Wt od? (Wis) + Wie 

其 中 ,oil (z) 一 ROTRICz) 十 ROTRsCz) 十 SHR7Cz)。 

oil2(z) = ROTR®” (zx)++ ROTR' (zx) 十 SHRSCz) 。 

ROTR" (zx) 三 对 64 位 的 变量 z 循环 右 移 n 位 。 

SHR" (xz) 二 对 64 位 变量 工 向 左 移 动 n 位 ,右边 填充 0。 

因此 ,在 前 16 步 处 理 过 程 中 ,W, 的 值 等 于 消息 分 组 里 的 相应 字 。 对 于 余下 的 64 步 ， 
W, 的 值 由 其 前 面 的 4 个 值 的 异 或 形成 的 值 构 成 ,要 对 4 个 值 中 的 两 个 进行 移 位 和 循环 移 位 


Wis Ws We Wre 
1024 位 WoW Wo Wie Wi_7 We3 Wn 
4 dd dd 
ey YY |} 
XOR XOR XOR 
上 页 & 


5.11 SHA-512 每 步 操作 中 的 消息 调度 处 理 


3. SHA-512 的 轮 函 数 


SHA-512 中 最 核心 的 处 理 就 是 对 单个 512 分 组 处 理 的 80 轮 的 每 一 轮 的 处 理 , 其 运算 
方法 如 下 所 示 。 


512 

二 主语 于 三 ( 六 六 的 二 ( 5.) +W,+K, 
1 

512 


Ty 二 ( Pa) + Maicasb,o 


a=T+T; 
b=a 
c=6b 
d=c 
e=d++T 
=e 
ws 
站 二 和 


其 中 : 
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。 上 为 步骤 数 ,0 委 坪 79。 

。 Ch(e,f,g) 二 (e AND 有 四 (NOT e AND g) 条 件 函 数 , 如 果 e, 则 了 ,否则 g。 

。 Maj(a,b,d) 二 (a AND 外 加 (a AND c) 田 (0 AND c) ,函数 为 真 , 仅 当 变量 的 多 数 (2 
或 3) 为 真 。 


512 


(> a) = ROTR*(a) ® ROTR* (a) 四 ROTRa (a). 


0 
512 


。 (加 ) = ROTR" (¢e) ® ROTR™ (e) ® ROTRO(e)。 
请 


”Wi 为 64 位 ,从 当前 的 512 位 消息 分 组 导出 。 
，K, 为 64 位 常数 。 
“十 "为 模 2% 加 。 


5.3.4 HMAC 


Hash 函数 是 不 使 用 密 钥 的 ,不 能 像 MAC 一 样 使 用 。 正 如 第 5. 2 节 所 讨论 的 ,MAC 是 
主要 基于 对 称 密码 算法 设计 的 ,如 第 5. 2. 2 节 中 讨论 的 MAC 算法 。 但 目前 ,研究 者 提出 了 
一 些 将 Hash 函数 用 于 构建 MAC 算法 的 方案 。HMAC 是 其 中 之 一 ,并 已 经 成 为 FIPS 标 
准 发 布 (FIPS 198) ,后 被 使 用 于 IPSec 和 SSL 协议 中 。 

HMAC 的 设计 目标 如 下 。 

。 可 以 直接 使 用 现 有 的 Hash 函数 。 

。 不 针对 于 某 一 个 Hash 函数 ,可 以 根据 需要 更 换 Hash 函数 模块 。 

。 可 保持 Hash 函数 的 原 有 性 能 ,不 能 过 分 降低 其 性 能 。 

对 密 钥 的 使 用 和 处 理应 较 简单 。 
。 如 果 已 知 嵌 入 的 Hash 函数 的 强度 , 则 可 以 知道 认证 机 制 抵抗 密码 分 析 的 强度 。 


因此 ,HMAC 中 使 用 的 Hash 函数 并 不 局 限 


下 ipad 
于 某 一 种 Hash 函数 ,所 以 使 用 不 同 的 Hash 函 Ee, | i 
数 , HMAC 将 有 不 同 的 实现 ,如 HMAC-SHA、 天 二 站 和 
HMAC-MD5 等 。 2 | 
HMAC 算法 VL 
图 5.12 给 出 了 HMAC 的 总 体 结构 ,其 中 的 ”人 Epad 
思 IEORN-| HSIM) 
符号 定义 如 下 所 示 。 
。 万 ; 嵌入 的 Hash 函数 (如 MD5、SHA-1、 | | 
RIPEMD-160) 。 人 
。 IV: 作为 Hash 函数 输入 的 初始 值 。 | 
。 M: HMAC 的 消息 输入 (包括 使 用 的 Hash Nw 
函数 中 定义 的 填充 位 )。 入 
。Y;: M 的 第 ; 个 分 组 ,0<i<(L 一 1)。 MA 
。 工 : M 中 的 分 组 数 。 图 5.12 HMAC 的 结构 


。 0: 每 一 分 组 所 含 的 位 数 。 
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。n: 使 用 的 Hash 函数 所 产生 的 散 列 值 的 位 长 。 
。 开 : 密 钥 ,建议 密 钥 长 度 大 于 nn。 若 密 钥 长 度 大 于 46, 则 将 密 钥 作为 Hash 函数 的 输入 
以 产生 一 个 n 位 的 密 钥 。 

。 K+ ; 为 使 K 为 b 位 长 而 在 K 左边 填充 0 后 所 得 的 结果 。 

。 ipad: 00110110( 十 六 进 制 数 36) 重 复 5/8 次 的 结果 。 

。 opad: 01011100( 十 六 进 制 数 5C) 重 复 0/8 次 的 结果 。 

HMAC 可 描述 为 : 

HMACx« = HL(K* opad) || HL(KT+ 四 (ipad) | MJ]] 

算法 的 处 理 流程 如 下 所 示 。 

(1) 在 密 钥 KK 后面 填充 0, 得 到 5 位 的 K+ (例如 ,车 K 是 160 位 ,b==512, 则 在 K 中 加 
和信 44 个 0 字 节 0X00)。 

(2) K* 与 ipad 执行 异 或 运算 (位 异 或 ) 产 生 4 位 的 分 组 S;。 

(3) 将 M 附 于 S; 后。 

(4) 将 互 作 用 于 第 (3) 步 所 得 的 结果 。 

(5) K+ 与 opad 执行 异 或 运算 (位 异 或 ) 产 生 4 位 的 分 组 Su。 。 

(6) 将 第 (4) 步 中 的 散 列 值 附 于 So 后 。 

(7) 将 互 作 用 于 第 (6) 步 所 得 出 的 结果 ,输出 最 终结 果 。 

在 上 述 操作 中 ,K 与 ipad 异 或 后 ,其 信息 位 有 一 半 发 生 了 变化 ; 同样 ,K 与 opad 异 或 
后 ,其 信息 位 的 另 一 半 也 发 生 了 变化 ,这 样 ,通过 将 5; 与 S, 传 给 Hash 算法 中 的 压缩 函数 ， 
可 以 从 伪 随 机 地 产生 出 两 个 密 钥 。 

如 图 5. 13 所 示 ,为 了 有 效 地 实现 HMAC,HMAC 中 多 执行 的 3 次 Hash 运算 (对 S,、 
S, 和 克 (Si | M)) 可 以 采用 预计 算 的 方式 先 求 出 下 面 的 值 。 


预计 算 对 每 条 消息 计算 
Kt ped 
1 
1 
| 二 二 从 三 2 
3 Na i Yes 
| 
四 
-二 - 国 
| : 
1 
Kt ipad | (Wn 
[可 -| | HOSIM) 
| 填充 至 bp 位 
1 | 1 
So 1 
1 
1 
2 位 1 
1 
位 
- 国 一 一 一 宇 -四 
| 上 位 
L HMACA(M) 


图 5.13 HMAC 的 实现 方案 
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flIV,(K'*Q® ipad)) 
VCK+G opad)) 
其 中 fl(cv,block) 是 Hash 函数 中 的 压缩 函数 ,其 输入 是 7 位 的 链接 值 和 2 位 的 消息 分 
组 ,输出 是 nn 位 的 链接 变量 。 上 述 这 些 值 只 在 初始 化 或 密 钥 改变 时 才 须 计算 。 实 际 上 ,这 些 
预先 计算 的 值 取代 了 Hash 函数 中 的 初始 值 IV。 这 样 的 处 理 方式 使 得 HMAC 只 须 多 执行 
一 次 压缩 函数 ,但 这 种 处 理 方式 只 有 在 对 较 长 消息 处 理 的 时 候 可 以 显示 出 效果 ,对 于 较 短 的 
消息 处 理 , 则 没有 太 大 意义 。 


5.4 数字 签名 


5.4.1 数字 签名 的 基本 概念 


前 面 章 节 讨 论 的 消息 认证 方法 主要 是 保护 通信 双方 之 间 的 消息 不 被 第 三 方 算 改 , 但 却 
无 法 防止 通信 双方 互相 欺骗 。 例 如 在 下 面 的 情形 中 ,通信 双方 会 产生 某 些 纠纷 。 

(1) 在 通信 中 ,通信 方 A 和 B 是 通过 共享 的 秘密 钥 对 传输 的 消息 计算 MAC 以 提供 认 
证 。 这 样 B 可 以 伪造 一 个 消息 ,并 使 用 共享 的 密 钥 对 其 生成 MAC, 然 后 声称 这 个 消息 是 来 
自 于 A 的 。 

(2) A 否认 曾经 发 送 过 某 条 消息 给 B, 但 事后 他 可 以 辩 称 B 收 到 的 这 条 消息 是 B 伪造 
的 , 即 否认 自己 的 行为 。 

(3) B 收 到 A 发 送 的 某 条 消息 后 ,出 于 某 种 原因 ,他 否认 收 到 过 这 条 消息 。 

在 上 述 情形 中 ,由 于 通信 方 存在 互 不 信任 的 情况 ,单纯 地 使 用 签名 讨论 的 消息 认证 方法 
无 法 解决 这 些 问 题 。 数 字 签 名 是 解决 这 些 问题 的 最 好 选择 ,数字 签名 主要 的 功能 是 保证 信 
息 传 输 的 完整 性 ,发送 者 的 身份 认证 、 防 止 交易 中 发 生 和 否认 现象 。 简 单 地 说 ,数字 签名 技术 
可 以 解决 如 下 问题 。 

。 否认 : 发 送 方 否认 发 送 过 或 签名 过 某 条 消息 。 

。 伪造 : 用 户 A 伪造 一 份 消息 ,并 声称 该 消息 来 自 B。 

。 冒充 ; 用 户 A 冒充 其 他 用 户 接收 或 发 送 报 文 。 

。 算 改 : 消息 接收 方 对 收 到 的 消息 进行 算 改 。 

数字 签名 也 是 一 种 认证 机 制 , 它 是 公 钥 密码 学 发 展 过 程 中 的 一 个 重要 组 成 部 分 ,是 公 钥 
密码 算法 的 典型 应 用 。 数 字 签 名 的 应 用 过 程 是 ,数据 源 发 送 方 使 用 自己 的 私 钥 对 数据 校 验 
和 (或 ) 其 他 与 数据 内 容 有 关 的 信息 进行 处 理 , 完 成 对 数据 的 合法 “签名 ”, 数 据 接收 方 则 利用 
发 送 方 的 公 钥 来 验证 收 到 的 消息 上 的 "数字 签名 ”, 以 确认 签名 的 合法 性 。 

数字 签名 需要 满足 以 下 条 件 。 

。 签名 的 结果 必须 是 与 被 签名 的 消息 相关 的 二 进 制 位 串 。 

。 签名 必须 使 用 发 送 方 某 些 独 有 的 信息 (发 送 者 的 私 钥 ), 以 防伪 造 和 否认 。 

。 产 生 数 字 签 名 比较 容易 。 

。 识 别 和 验证 签名 比较 容易 。 
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。 给 定数 字 签 名 和 被 签名 的 消息 ,伪造 数字 签名 在 计算 上 是 不 可 行 的 。 

。 保存 数字 签名 的 副本 ,并 由 第 三 方 进行 仲裁 是 可 行 的 。 

数字 签名 的 典型 使 用 方法 如 下 ( 见 图 5. 6(a)) 。 

(1) 发 送 方 计算 消息 的 喻 希 值 。 

(2) 发 送 方 使 用 自己 的 私 钥 对 消息 散 列 值 进行 计算 ,得 到 一 个 较 短 的 数字 签名 串 。 

(3) 这 个 数字 签名 将 和 消息 一 起 发 送 给 接收 方 。 

(4) 接收 方 首先 从 接收 到 的 消息 中 用 同样 的 散 列 函 数 计算 出 一 个 消息 摘要 ,然后 使 用 
这 个 消息 摘要 ,发送 者 的 公 钥 以 及 收 到 的 数字 签名 ,进行 数字 签名 合法 性 的 验证 。 

数字 签名 技术 是 在 网 络 虚拟 环境 中 确认 身份 、 提 供 消 息 完整 性 和 保证 消息 来 源 的 重要 
技术 ,可 以 提供 和 现实 中 的 “亲笔 签字 ”类 似 的 效果 ,在 技术 和 法 律 上 都 有 保证 。 数 字 签名 通 
常 和 Hash 函数 结合 使 用 ,用 来 向 用 户 提供 安全 高 效 的 数字 签名 的 方法 ,被 广泛 应 用 在 各 种 
认证 协议 中 和 网 络 应 用 中 ,如 电子 商务 中 安全 ,方便 的 电子 支付 .数据 传输 的 完整 性 、 身 份 验 
证 机 制 以 及 交易 的 不 可 否认 性 的 实现 。 


5.4.2 数字 签名 方案 


本 节 给 出 一 些 常见 的 数字 签名 方案 及 数字 签名 的 应 用 。 
1，Schnorr 数字 签名 
1989 年 ,Schnorr 提出 一 签名 算法 ,其 算法 安全 性 基于 求解 离散 对 数 难题 。 
算法 描述 如 下 所 示 。 
(1) 系统 参数 的 选择 。 
户 和 qd: 满足 gp 一 1,g 宇 2'” ,q 过 2522 。 
8: 8SEZD, ,满足 8 一 1 mod p,g 了 1。 
及: 为 散 列 函数 。 
Z: 为 用 户 的 私 钥 ,1 二 + 过 gq。 
y: 为 用 户 的 公 钥 ,y==g” mod p。 
(2) 签名 。 
设 要 签名 的 消息 为 M,0 二 M 二 p。 签 名 者 随机 选择 一 整数 ,1 二 kg, 并 计算 : 
e= H(r,M) 
5s=k—zxe modg 
(e,s) 即 为 M 的 签名 。 签 名 者 将 M 连同 (r,s) 一 起 存放 ,或 发 送 给 验证 者 。 
(3) 验证 。 
验证 者 获得 M 和 (e,s) ,需要 验证 (e,s) 是 否 是 M 的 签名 。 
计算 : 
r=gr modp 
检查 及 (w ,MD) 二 e 是 否 成 立 ,车 成 立 , 则 (e,s) 为 M 的 合法 签名 。 
2. 数字 签名 标准 (DSS) 
1991 年 ,美国 国家 标准 局 CNIST) 发 布 了 数字 签名 标准 (FIPS PUB186) ,简称 DSS 
(Digital Signature Standard) 。DSS 采用 了 SHA 散 列 算法 ,给 出 了 一 种 新 的 数字 签名 方法 ， 
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即 数字 签名 算法 (DSA)。DSS 被 提出 后 ,1996 年 又 被 稍 做 修改 ,2000 年 发 布 了 该 标准 的 扩 
充 版 , 即 FIP 186-2。DSA 的 安全 性 是 建立 在 求解 离散 对 数 难 题 之 上 的 ,算法 基于 ElGamal 
和 Schnorr 签名 算法 ,其 后 面 发 布 的 最 新 版 本 还 包括 基于 RSA 和 椭圆 曲线 密码 的 数字 签名 


算法 。 这 里 给 出 的 算法 是 最 初 的 DSA 算法。 


DSA 只 提供 数字 签名 功能 的 算法 ,虽然 它 是 一 种 公 钥 密码 机 制 ,但 是 不 能 像 RSA 和 


ECC 算法 那样 还 可 以 用 于 加 密 或 密 钥 分 配 。 


DSS 方法 使 用 Hash 函数 产生 消息 的 散 列 值 ,和 随机 生成 的 & 作 为 签名 函数 的 输入 , 签 


名 函数 依赖 于 发 送 方 的 私 钥 (PRa) 和 一 组 参数 ,这 些 参数 为 一 组 通信 伙伴 所 共有 
认为 这 组 参数 构成 全 局 公 钥 PUs。 签 名 由 两 部 分 组 成 ,标记 为 和 ;。 


,我 们 可 以 


接收 方 对 收 到 的 消息 计算 散 列 值 ,和 收 到 的 签名 (x,s) 一 起 作为 验证 函数 的 输入 ,验证 
函数 依赖 于 全 局 公 钥 和 发 送 方 公 钥 , 若 验证 函数 的 输出 等 于 签名 中 的 ~, 则 签名 合法 。 


DSA 算法 的 具体 描述 如 下 所 示 ( 见 图 5. 14) 。 


5.14 DSS 签名 算法 


(1) DSA 的 系统 参数 的 选择 如 下 所 示 。 

p: 512 的 素数 ,其 中 2“! 二 p 二 2* ,512 过 L1024, 且 工 是 64 的 倍数 , 即 工 
512 一 1024 位 之 间 并 且 其 增 量 为 64 位 。 

gq: 160 位 的 素数 且 qz 一 1。 

g: 满足 g=h% ?4 mod p。 

玉 : 为 散 列 函 数 。 

Z: 为 用 户 的 私 钥 ,0 二 x 二 q。 

y: 为 用 户 的 公 钥 ,y= 二 g* mod p。 

Pp.q\& 为 系统 发 布 的 公共 参数 ,与 公 钥 y 公开 ; 私 钥 xz 保密 。 

(2) 签名 。 


的 位 长 在 


设 要 签名 的 消息 为 M,0 二 Mp。 签 名 者 随机 选择 一 整数 ,0 二 k<g, 并 计算 : 


r= (gt modp) modg 

s=[k'(H(M)+zr)] modg 
(r,s) 即 为 M 的 签名 。 签 名 者 将 M 连同 (r,s) 一 起 存放 ,或 发 送 给 验证 者 。 
(3) 验证 。 
验证 者 获得 M 和 (r,s) ,需要 验证 (r,s) 是 否 是 M 的 签名 。 
首先 检查 + 和 * 是 否 属于 [0,qj, 若 不 属于 , 则 (r,s) 不 是 签名 值 。 
否则 ,计算 : 

w=s!modg 

ui = (H(Mw) modg 
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ta =rwmodg 
v= ((g"y*) mod p) modg 

如 果 * 一 ~:' 则 所 获得 的 (~,*) 是 M 的 合法 签名 。 

在 DSA 中 ,签名 者 和 验证 者 都 需要 进行 一 次 模 g 的 求 道 运算 ,这 个 运算 是 比较 耗 时 的 。 
Yen 和 Laih 提出 了 两 种 改进 的 方法 ,可 以 免 去 签名 者 或 验证 者 的 求 逆 运算 ,其 方法 如 下 
所 示 。 

(1) DSA 改进 方法 1。 

签名 : r= 二 (gt mod p) modg 

s=(rk—H(M))xr ' modg 

验证 : :一 一 : mod g 
v=(g*W!y* mod p) modg 

判断 vv 是 否 和 7 相等 。 

(2) DSA 改进 方法 2。 

签名 : r= 二 (g* mod p) modg 

s=(k(H(M)+zr) 1) modg 
验证 : t= 二 sH(M) mod gq 
v=(g'y™” mod p) modg 

判断 是 否 和 vr 相等 。 

在 上 述 方法 中 ,有 些 计算 可 以 预先 完成 。 在 改进 方法 1 中 ,签名 时 会 用 到 的 x ,如 果 xz 
不 是 经 常 更 换 , 则 x 可 以 预先 计算 并 保存 以 便 多 次 使 用 ,这 样 就 可 以 省 掉 一 次 求 逆 运 算 。 
在 改进 方法 2 中 ,验证 者 无 需 计算 逆 元 。 即 便 对 于 初始 DSA, 也 可 以 采用 预计 算 的 方法 提 
高 效率 : 签名 时 所 计算 的 g* mod p 并 不 依赖 于 消息 ,因此 可 以 预先 计算 出 。 用 户 还 可 以 根 
据 需 要 预先 计算 出 多 个 可 用 于 签名 的 7, 以 及 相应 的 一 : ,这 样 可 以 大 大 提高 效率 。 

以 上 给 出 的 签名 方案 是 直接 数字 签名 ,或 称 为 普通 数字 签名 ,包括 RSA、Schnorr、 
DSA .ECC,. Fiat-Shamir、 Guillou-Quisquarter、 Schnorr ,Ong-Schnorr-Shamir 等 数字 签名 算 
法 。 这 类 数字 签名 只 涉及 通信 双方 , 即 签名 方 使 用 自己 的 私 钥 对 整个 消息 或 者 对 于 消息 的 
散 列 值 进 行 签名 ,验证 者 使 用 签名 者 的 公 钥 进行 验证 。 即 便 发 生 纠纷 ,仲裁 法 也 是 根据 密 钥 
及 签名 值 进行 仲裁 。 该 方案 的 有 效 性 完全 依赖 于 签名 方 的 私 钥 。 如 果 签 名 者 的 私 钥 丢 失 或 
者 被 攻击 者 获取 , 则 有 可 能 被 他 人 伪造 签名 ,这 时 产生 纠纷 后 ,仲裁 者 无 法 给 出 实时 的 判断 。 
因此 ,在 实际 应 用 中 ,除了 普通 数字 签名 外 ,还 有 些 特殊 的 签名 方案 ,更 多 的 可 以 说 是 一 种 安 
全 协议 ,如 仲裁 数字 签名 . 盲 签名 .代理 签名 多重 签名 .不 可 和 否认 签名 .公平 言 签名 门限 签 
名 .具有 消息 恢复 功能 的 签名 等 ,它们 与 具体 应 用 环境 密切 相关 。 

3. 仲裁 数字 签名 

仲裁 签名 中 除了 通信 双方 外 ,还 有 一 个 仲裁 方 。 发 送 方 A 发 送 给 B 的 每 条 签名 的 消息 
都 先 发 送 给 仲裁 者 T,T 对 消息 及 其 签名 进行 检查 以 验证 消息 源 及 其 内 容 , 检 查 无 误 后 给 消 
息 加 上 日 期 再 发 送 给 B, 同 时 指明 该 消息 已 通过 仲裁 者 的 检验 。 因 此 ,仲裁 数字 签名 实际 上 
涉及 多 余 一 步 的 处 理 ,仲裁 者 的 加 入 使 得 对 于 消息 的 验证 具有 实时 性 。 

下 面 是 使 用 对 称 密码 的 仲裁 签名 的 例子 。 
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(1) A-~T: MI Ex LIDA | HCW 

(2) T—>B: Er [LIDa | M | Er LIDs | HOMJ I TJ, 

在 这 个 例子 中 ,签名 采用 的 是 对 消息 的 加 密 处 理 , 即 整个 密 文 就 是 消息 的 签名 : 发 送 方 
A 和 仲裁 者 T 共享 密 钥 KAr,A 和 B 共享 密 钥 Kas。A 产生 消息 M 并 计算 出 其 散 列 值 
五 CM) ,然后 将 消息 M 及 其 签名 发 送 给 T, 其 签名 由 A 的 标识 IDs 和 消息 散 列 值 组 成 ,并 且 
用 Kat 加 密 。A 对 签名 解密 后 ,通过 检查 散 列 值 来 验证 该 消息 的 有 效 性 ,然后 工 用 Km 对 
IDA ,来 自 A 的 原始 消息 M、 来 自 A 的 签名 和 时 间 截 加 密 后 传 给 B。B 对 了 发 来 的 消息 解密 
即 可 恢复 消息 M 和 签名 。B 检查 时 间 鹤 以 确定 该 消息 是 实时 的 、 而 不 是 重 放 的 消息 。B 可 
以 存储 M 及 其 签名 ,如 果 和 A 发 生 争 执 , 则 B 可 将 下 列 消息 发 给 以 证 明 曾 收 到 过 来 自 A 
的 消息 : Eris[LIDa eM EurLIDA HM)] TJ。 

下 面 是 使 用 公 钥 密码 体制 的 签名 ,并 且 仲 裁 者 不 能 阅读 消息 ,只 能 仲裁 发 送 者 的 行为 。 

(1) A—>T: IDA | Eee [IDA | Epu, (Eee LM])J, 

(2) TB: Epr, [LIDA | Epu, LEpr, LMJJ 1 TJ。 

发 送 者 A 首先 使 用 自己 的 私 钥 对 消息 进行 签名 ,然后 再 使 用 接收 者 B 的 公 钥 对 消息 及 
签名 进行 加 密 ,A 再 次 使 用 自己 的 私 钥 对 连同 标识 和 密 文 的 内 容 进 行 签名 。 仲 裁 者 收 到 消 
息 后 ,使 用 A 的 公 钥 验证 外 层 签 名 的 合法 性 ,但 是 无 法 获得 原始 消息 M 的 内 容 。 如 果 签 名 
合法 ,仲裁 方 对 密 文 消息 加 上 时 间 蕉 ,并 使 用 自己 的 私 钥 进 行 签名 ,并 发 送 给 B。B 收 到 后 
可 以 验证 仲裁 方 的 签名 以 及 消息 的 实时 性 ,并 使 用 自己 的 私 钥 对 密 文 进行 解密 ,再 使 用 A 
的 公 钥 验证 解密 后 的 消息 中 的 签名 ,以 判断 消息 的 合法 性 。B 可 以 保存 第 (2) 步 中 的 消息 ， 
如 果 和 A 产生 纠纷 , 则 可 以 作为 证 据 提供 给 仲裁 方 。 

和 前 面 一 个 方案 相 比 ,采用 公 钥 密码 的 方案 可 以 更 有 效 地 保护 发 送 者 和 接收 者 的 利益 ， 
因为 在 前 面 的 方案 中 ,仲裁 者 可 以 看 到 消息 的 内 容 , 可 能 和 接收 者 勾结 欺骗 发 送 者 ,也 可 能 
和 发 送 者 勾结 欺骗 接收 者 ,而 这 个 方案 中 ,仲裁 者 看 不 到 消息 的 内 容 , 并 且 也 无 法 进行 联合 
欺骗 。 

4. 盲 签名 

盲 签 名 是 Chaum 在 1982 年 首次 提出 的 ,Chaum 利用 讶 签名 技术 提出 了 第 一 个 电子 现 
金 方 案 。 盲 签名 因为 具有 讶 性 这 一 特点 ,可 以 有 效 地 保护 所 签名 的 消息 的 具体 内 容 , 所 以 在 
电子 商务 等 领域 有 着 广泛 的 应 用 。 

讶 签名 允许 消息 发 送 者 先 将 消息 讶 化 ,而 后 让 签名 者 对 讶 化 的 消息 进行 签名 ,最 后 消息 
拥有 者 对 签名 除去 盲 因 子 , 得 到 签名 者 关于 原 消息 的 签名 。 消 息 发 送 者 可 以 使 用 讶 签名 让 
签名 者 对 给 定 的 消息 进行 签名 ,但 不 泄露 关于 消息 和 消息 签名 的 任何 信息 。 它 除了 满足 一 
般 的 数字 签名 条 件 外 ,还 必须 拥有 如 下 所 示 的 两 条 性 质 。 

(1) 签名 者 不 知道 其 所 签名 的 消息 的 具体 内 容 。 

(2) 签名 消息 不 可 追踪 , 即 当 签名 消息 被 公布 后 ,签名 者 无 法 知道 这 是 他 哪 次 签署 的 。 

关于 盲 签名 ,我 们 曾经 给 出 了 一 个 非常 直观 的 说 明 : 所 谓 盲 签名 ,就 是 先 将 隐蔽 的 文件 
放 进 信封 里 ,而 除去 盲 因子 的 过 程 就 是 打开 这 个 信封 , 当 文 件 在 一 个 信封 中 时 ,任何 人 都 不 
能 阅读 它 。 文 件 签名 就 是 通过 在 信封 里 放 一 张 复写 纸 , 签 名 者 在 信封 上 签名 时 ,他 的 签名 便 
透 过 复写 纸 签到 文件 上 。 

A 期 望 获得 对 消息 m 的 签名 ,B 对 消息 mr 的 盲 签名 实现 的 描述 如 下 所 示 。 
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(1) 盲 化 : A 对 于 消息 进行 处 理 , 使 用 讶 因子 合成 新 的 消息 M 并 发 生 给 B。 

(2) 签名 : B 对 消息 M 签名 后 ,将 签名 (Msign(M)) 返回 给 A。 

(3) 去 盲 : A 去 掉 育 因子 ,从 对 M 的 签名 中 得 到 B 对 m 的 签名 。 

一 般 来 说 ,一 个 好 的 盲 签 名 应 该 具有 以 下 的 性 质 。 

(1) 不 可 伪造 性 。 除 了 签名 者 本 人 外 ,任何 人 都 不 能 以 他 的 名 义 生成 有 效 的 讶 签名。 

(2) 不 可 否认 性 。 签 名 者 一 旦 签署 了 某 个 消息 ,他 无 法 否认 自己 对 消息 的 签名 。 

(3) 盲 性 。 签 名 者 虽然 对 某 个 消息 进行 了 签名 ,但 他 不 可 能 得 到 消息 的 具体 内 容 。 

(4) 不 可 跟踪 性 。 一 旦 消息 的 签名 被 公开 后 ,签名 者 不 能 确定 自己 何 时 签署 的 这 条 消 
息 。 也 就 是 说 ,即使 签名 者 存储 了 盲 消息 M 和 相应 的 签名 sign(MD) ,等 到 m 和 其 签名 sign 
(9) 公布 后 ,他 也 无 法 找 出 Gn,signCm)) 和 (CM,sign(M)) 之 间 的 联系 。 

不 满足 上 述 第 (4) 条 的 盲 签 名 方案 成 为 弱 育 签名 方案 ,否则 称 为 强 育 签 名 方案 。 这 4 条 
性 质 既是 我 们 设计 言 签名 所 应 遵循 的 安全 标准 ,又 是 我 们 判断 讶 签名 性 能 优 劣 的 根据 。 

自 Chaum 提出 首 个 基于 大 整数 分 解难 题 上 的 盲 签名 方案 后 ,研究 者 陆续 提出 了 基于 离 
散 对 数 的 盲 签名 方案 .基于 二 项 剩余 的 盲 签名 方案 .基于 ElIGamal 且 具 有 匿名 性 的 育 签 名 
方案 、 群 讶 签名 方案 、 基 于 比特 承诺 的 盲 签名 等 。 

利用 盲 签 名 技术 可 以 保护 用 户 的 隐私 权 , 因 此 , 盲 签名 技术 在 诸多 电子 支付 .电子 现金 
方案 中 被 广泛 使 用 。 盲 数字 签名 技术 在 充分 保护 用 户 隐私 的 同时 ,也 为 不 法 分 子 提供 了 可 
乘 之 机 ,他 们 利用 电子 现金 的 完全 匿名 性 特点 进行 欺骗 等 违法 犯罪 活动 。1995 年 
M. Stadler、J. M. Piveteau 和 J. Camenischt 提出 了 公平 育 签 名 的 概念 ,可 用 于 条 件 匿 名 支付 
系统 ,在 一 定 程度 上 消除 了 电子 现金 极端 匿名 性 带 来 的 负面 影响 。 

5. 代理 签名 

代理 签名 的 目的 是 当 某 签名 人 因 某 种 原因 不 能 行使 签名 权力 时 ,将 签名 权 委 派 给 其 他 
人 蔡 自 己 行使 签名 权 。 由 原始 签名 者 (部 分 ) 授 权 代理 签名 者 ,使 代理 签名 者 产生 代替 原始 
签名 的 签名 就 是 代理 数字 签名 。 这 个 概念 是 由 Mambo .Usada 和 Okamoto 于 1996 年 首先 
提出 的 ,并 且 给 出 了 一 个 代理 签名 方案 (下 面 简称 为 MUO 方案 ) 。 

MUO 代理 数字 签名 方案 描述 如 下 所 示 。 

系统 参数 : p 是 一 个 大 素数 ,9 为 p 一 1 的 大 素 因 子 ,gE€2; , 且 g' 寺 1 mod p。 原 始 签 名 
者 A 代理 签名 者 B 的 私 钥 为 PRa 、PRs E {1,2,…,g 一 1 )}; 公 钥 分 别 为 PUA 一 seus mod p、 
PUA 一 ge mod p。 代 理 签名 步骤 如 下 所 示 。 

(1) 产生 代理 密 钥 : A 随机 选择 一 个 数 &E Zi ,计算 r 三 g* mod p, 然 后 计算 代理 签名 
密 钥 ;== (PRa 十 kr)mod g。 

(2) 代理 密 钥 的 传递 : A 将 (s,7) 以 安全 的 方式 发 送 给 B。 

(3) 代理 密 钥 的 验证 : B 检查 等 式 g' 二 PUar” mod p 是 否 成 立 , 如 果 成 立 则 接受 ,否则 
拒绝 。 

(4) 代理 签名 者 对 消息 签名 : 对 于 消息 m,B 将 作为 新 的 私 钥 ( 替 代 PRA) 使 用 签名 算 
法 产生 对 m 的 签名 sg 二 sig(s,m) ,然后 将 (sr) 作为 他 代表 A 对 于 消息 m 的 数字 签名 ( 即 
代理 签名 ) 。 

(5) 对 代理 签名 的 验证 : 接收 方 收 到 消息 mx 和 代理 签名 (s,,7) ,验证 ver(PUA ,Cs ,7)， 
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mm) 三 true, 是 否 成 立 ,如 果 成 立 则 认为 代理 签名 成 立 , 否 则 拒绝 。 

也 就 是 说 ,在 上 述 签名 方案 中 ,A 并 没有 泄露 自己 的 私 钥 , 但 是 通过 计算 为 B 生成 了 一 
对 代理 公私 钥 对 , 设 为 (PRa,PUas) ,其 中 PRa 一 *,PRas 一 g& mod g。 在 B 代 理 签名 中 ,将 利用 
这 对 密 钥 对 对 消息 进行 签名 。 

现在 已 经 出 现 了 一 些 基 于 离散 对 数 和 素 因子 分 解 问题 的 代理 签名 方案 。 在 这 些 代理 签 
名 方案 中 ,假设 A 委托 B 进行 代理 签名 , 则 签名 必须 满足 以 下 3 个 最 基本 的 条 件 。 

(1) 签名 接收 方 能 够 像 验证 A 的 签名 那样 验证 B 的 签名 。 

(2) A 的 签名 和 B 的 签名 应 当 完 全 不 同 ,并 且 容 易 区 分 。 

(3) A 和 也 对 签名 事实 不 可 否认 。 


5.5 关键 术语 


消息 认证 码 (Message Authentication Code, MAC) 

散 列 函 数 ( 也 称 杂 凑 函 数 )(Hash Function) 

散 列 消息 认证 码 (Hashed Message Authentication Code, HMAC) 
安全 散 列 函数 (Secure Hash Function,SHF) 
数字 签名 标准 (Digital Signature Standard ,DSS) 
数字 签名 (Digital Signature) 

盲 签 名 (Blind Signature) 


5.6 习 题 5 


为 什么 需要 消息 认证 ? 

SHA 中 使 用 的 基本 算术 和 逻辑 函数 是 什么 ? 

一 个 安全 的 散 列 函数 需要 满足 的 特性 有 哪些 ? 
什么 是 生日 攻击 ? 

散 列 函数 和 消息 认证 码 有 什么 区 别 ? 各 自 可 以 提供 什么 功能 ? 
数字 签名 和 散 列 函数 的 应 用 有 什么 不 同 ? 

数字 签名 需要 满足 哪些 条 件 ? 

说 出 几 种 数字 签名 技术 ,并 分 析 其 优 缺 点 。 


mm wm wm wa en 
oo 中 mo 


第 6 章 身份 认证 与 访问 控制 


本 章 导 读 


> 


本 章 主要 介绍 身份 认证 技术 和 访问 控制 机 制 。 身 份 认证 是 整个 信息 安全 体系 的 基 
础 ,访问 控制 是 对 信息 系统 资源 进行 保护 的 重要 措施 ,也 是 计算 机 系统 最 重要 和 最 
基础 的 安全 机 制 。 

身份 认证 是 指 计算 机 及 网 络 系统 确认 操作 者 身份 的 过 程 。 它 用 来 防止 计算 机 系统 
被 非 授权 用 户 或 进程 侵入 ,保证 以 数字 身份 进行 操作 的 操作 者 就 是 这 个 数字 身份 合 
法 的 拥有 者 ,这 属于 第 一 道 防线 。 

身份 认证 的 基本 思想 是 通过 验证 被 认证 对 象 的 属性 来 达到 确认 被 认证 对 象 是 否 是 
真实 有 效 的 目的 。 被 认证 对 象 的 属性 可 以 是 口令 .数字 签名 或 者 像 指纹 、 声 音 、 视 网 
膜 这样 的 生理 特征 。 

OpenID(Open Identity) 是 一 个 开放 的 、 基 于 URI/URL 的 、 去 中 心 化 的 身份 认证 协 
议 , 也 是 一 个 开放 的 标准 。 通 过 OpenID, 任 何人 都 能 够 使 用 一 个 URL 在 Internet 
上 用 统一 的 方式 来 认证 自己 。 一 次 注册 ,可 以 在 多 个 网 站 上 登录 ,从 而 实现 了 跨 域 
的 单 点 登录 的 功能 ,用 户 无 须 再 进行 重复 的 注册 和 登录 。 

OAuth(Open Authorization) 协 议 是 一 个 开放 的 授权 协议 ,其 目标 是 为 了 授权 第 三 
方 在 可 控 范 围 下 访问 用 户 资源 。OAuth 与 OpenID 互补 ,一 般 支持 OpenID 的 服务 
都 会 使 用 到 OAuth。 

访问 控制 的 主要 任务 是 保证 资源 不 被 非法 使 用 和 访问 。 访问 控制 规定 了 主体 对 客 
体 访问 的 限制 ,并 在 身份 识别 的 基础 上 ,根据 身份 对 提出 资源 访问 的 请 求 加 以 控制 。 
通常 访问 控制 策略 可 以 划分 为 自主 访问 控制 ,强制 访问 控制 和 基于 角色 的 访问 控制 
3 种 。 

自主 访问 控制 是 指 对 某 个 客体 具有 拥有 权 ( 或 控制 权 ) 的 主体 能 够 将 对 该 客体 的 
一 种 访问 权 或 多 种 访问 权 自 主 地 授予 其 他 主体 ,并 在 随后 的 任何 时 刻 将 这 些 权限 
回收 。 自 主 访问 控制 的 自主 性 为 用 户 提供 了 极 大 的 灵活 性 ,但 它 的 安全 级 别 
较 低 。 

强制 访问 控制 依据 主体 和 客体 的 安全 级 别 来 决定 主体 是 否 有 对 客体 的 访问 权 。 强 
制 访问 控制 主要 用 于 多 级 安全 军事 应 用 ,安全 性 好 。 

基于 角色 的 访问 控制 (RBAC) 在 用 户 和 权限 之 间 引 入 了 角色 ,不 是 直接 授权 给 用 
户 ,而 是 先 授 权 给 角色 ,然后 再 授予 用 户 角 色 。RBAC 体现 了 系统 的 组 织 结构 ,简洁 
并 具有 灵活 性 ,大 大 降低 了 系统 的 复杂 度 和 系统 管理 员 误 操作 的 可 能 性 。 角 色 之 间 
的 互 斥 关系 可 以 很 容易 地 实现 任务 分 离 , 角 色 访 问 控制 还 支持 最 小 权限 。 


随 着 计算 机 系统 、 开 放 式 网 络 系 统 的 迅猛 发 展 及 其 在 各 行 各 业 的 普遍 应 用 ,认证 用 户 身 
份 和 保证 用 户 使 用 系统 时 的 安全 正 越 来 越 受 到 社会 的 普遍 重视 。 相 应 地 ,对 于 身份 认证 技 
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术 和 访问 控制 机 制 的 研究 也 逐渐 发 展 起 来 。 

认证 技术 是 信息 安全 中 的 一 个 重要 内 容 , 认 证 指 的 是 证 实 被 认证 对 象 是 否 属实 和 是 否 
有 效 的 一 个 过 程 。 认 证 一 般 可 以 分 为 两 种 。 

(1) 消息 认证 : 用 于 保证 信息 的 完整 性 和 抗 否认 性 。 在 很 多 情况 下 ,用 户 要 确认 
Internet 上 的 信息 是 不 是 假 的 ,信息 是 否 被 第 三 方 修改 或 伪造 ,这 就 需要 消息 认证 。 消 息 认 
证 的 有 关内 容 参 见 第 5 章 。 

(2) 身份 认证 : 用 于 鉴别 用 户 身份 。 包 括 识别 和 验证 ,识别 是 指明 确 并 区 分 访问 者 的 
身份 ; 验证 是 指 对 访问 者 声称 的 身份 进行 确认 。 


6.1 身份 认证 


身份 认证 是 对 系统 中 的 主体 进行 验证 的 过 程 ,用 户 必 须 提供 他 是 谁 的 证 明 。 在 现实 生 
活 中 ,我 们 每 个 人 的 身份 主要 是 通过 各 种 证 件 来 确认 的 ,如 身份 证 ,学 生 证 、 户 口 本 等 。 计 算 
机 系统 和 计算 机 网 络 是 一 个 虚拟 的 数字 世界 ,在 这 个 数字 世界 中 ,一 切 信息 (包括 用 户 的 身 
份 信息 ) 都 是 用 一 组 特定 的 数据 来 表示 的 ,计算 机 只 能 识别 用 户 的 数字 身份 ,所 有 对 用 户 的 
授权 也 是 针对 用 户 数 字 身 份 的 授权 。 而 我 们 生活 的 现实 世界 是 一 个 真实 的 物理 世界 ,每 个 
人 都 拥有 独一无二 的 物理 身份 。 如 果 不 能 保证 以 数字 身份 进行 操作 的 操作 者 就 是 这 个 数字 
身份 的 合法 拥有 者 ,也 就 是 说 如 果 不 能 保证 操作 者 的 物理 身份 与 数字 身份 相对 应 ,那么 将 不 
能 保证 用 户 的 信息 安全 。 比 如 在 银行 系统 中 ,如 果 ATM 自动 取款 机 不 能 确认 用 户 的 身份 ， 
将 会 给 银行 和 用 户 造 成 损失 。 

因此 ,为 了 防止 非法 用 户 进 入 系统 ,在 用 户 进入 (即使 用 ) 计 算 机 系统 和 网 络 之 前 ,系统 
要 对 用 户 的 身份 进行 鉴别 ,以 判别 该 用 户 是 否 是 系统 的 合法 用 户 。 

那么 大 家 熟悉 的 防火 墙 \, 人 侵 检测 `VPN 安全 网 关 、 安 全 目录 等 ,都 与 身份 认证 系统 有 
什么 区 别 和 联系 呢 ? 我 们 从 这 些 安全 产品 实现 的 功能 来 分 析 就 明白 了 : 防火 墙 保证 了 未 经 
授权 的 用 户 无 法 访问 相应 的 端口 或 使 用 相应 的 协议 ; 入 侵 检测 系统 能 够 发 现 未 经 授权 用 户 
攻击 系统 的 企图 ; VPN 在 公共 网 络 上 建立 一 个 经 过 加 密 的 虚拟 的 专用 通道 供 经 过 授权 的 
用 户 使 用 ; 安全 网 关 保 证 了 用 户 无 法 进入 未 经 授权 的 网 段 ,安全 目录 保证 了 授权 用 户 能 够 
对 存储 在 系统 中 的 资源 迅速 定位 和 访问 。 这 些 安全 产品 实际 上 都 是 针对 用 户 数字 身份 的 权 
限 管理 ,它们 解决 了 哪个 数字 身份 对 应 能 做 什么 事情 的 问题 。 而 身份 认证 解决 了 用 户 的 物 
理 身份 和 数字 身份 相对 应 的 问题 ,给 他 们 提供 了 权限 管理 的 依据 。 如 果 把 信息 安全 体系 看 
做 一 个 木 桶 ,那么 这 些 安全 产品 就 是 组 成 木 桶 的 一 块 块 木板 , 则 整个 系统 的 安全 性 取决 于 最 
短 的 一 块 木板 。 这 些 模 块 在 不 同 的 层次 上 阻止 了 未 经 授权 的 用 户 访 问 系统 ,这 些 授 权 的 对 
象 都 是 用 户 的 数字 身份 。 而 身份 认证 模块 就 相当 于 木 桶 的 桶 底 , 由 它 来 保证 物理 身份 和 数 
字 身 份 的 统一 :如 果 桶 底 是 漏 的 , 那 桶 壁 上 的 木板 再 长 也 没有 用 。 因 此 ,在 计算 机 和 互联 网 
络 世 界 里 ,身份 认证 是 一 个 最 基本 的 要 素 ,是 整个 信息 安全 体系 的 基础 ,也 是 访问 控制 的 基 
础 ,是 信息 安全 的 第 一 道 关卡 。 它 的 地 位 和 作用 如 图 6. 1 所 示 。 
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身份 认证 访问 控制 
图 6.1 身份 认证 是 安全 系统 中 的 第 一 道 关卡 


从 图 6. 1 中 可 以 看 出 ,身份 认证 是 安全 系统 中 的 第 一 道 关卡 ,用 户 在 访问 安全 系统 之 前 ， 
首先 经 过 身份 认证 系统 识别 身份 ,然后 访问 监控 器 根据 用 户 的 身份 和 授权 数据 库 决 定 用 户 是 
否 能 够 访问 某 个 资源 ,授权 数据 库 由 安全 管理 员 按照 需要 进行 配置 。 访 问 控制 和 审计 系统 都 
要 依赖 于 身份 认证 系统 提供 的 “信息 ”一 一 用 户 的 身份 。 可 见 身份 认证 在 安全 系统 中 的 地 位 极 
其 重要 ,是 最 基本 的 安全 服务 ,其 他 的 安全 服务 都 要 依赖 于 它 。 一 旦 身份 认证 系统 被 攻破 , 那 
么 系统 的 所 有 安全 措施 将 形同虚设 。 正 因 如 此 ,通常 黑客 攻击 的 目标 就 是 身份 认证 系统 。 可 
见 , 身 份 认证 是 计算 机 系统 和 网 络 系统 安全 的 关键 ,研究 和 发 展 身份 认证 技术 势 在 必 行 。 


6.1.1 身份 认证 的 基本 方法 


建立 信息 安全 体系 的 目的 就 是 要 保证 存储 在 计算 机 及 网 络 系统 中 的 数据 只 能 够 被 有 权 
操作 的 人 访问 ,所 有 未 被 授权 的 人 无 法 访问 这 些 数据 。 这 里 说 的 是 对 人 ”的 权限 的 控制 , 即 
对 操作 者 物理 身份 的 权限 控制 。 不 论 对 安全 性 要 求 多 高 的 数据 , 它 存在 就 必然 要 有 相对 应 
的 授权 人 可 以 访问 它 , 否 则 ,保存 一 个 任何 人 都 无 权 访 问 的 数据 是 没有 意义 的 。 然 而 ,如 果 
没有 有 效 的 身份 认证 手段 ,这 个 有 权 访问 者 的 身份 就 很 容易 被 伪造 ,那么 ,不 论 投入 再 大 的 
资金 ,建立 的 再 坚固 安全 防范 体系 都 形同虚设 。 就 好 像 我 们 建造 了 一 座 非常 结实 的 保险 库 ， 
安装 了 非常 坚固 的 大 门 , 却 没有 安装 门 锁 一 样 。 因 此 安全 有 效 的 身份 认证 方法 就 成 为 了 研 

从 传说 中 “芝麻 开门 ”的 吕 语 ,到 后 来 的 按 手印 ,支票 签名 ,再 到 现在 的 安全 密码 认证 \、 数 
字 签 名 .生物 识别 …… 身份 认证 与 身份 识别 技术 的 发 展 从 来 就 没有 停止 过 。 身 份 认证 技术 
的 发 展 , 经 历 了 从 软件 认证 到 硬件 认证 ,从 单 因 子 认证 到 双 因 子 认证 ,从 静态 认证 到 动态 认 

如 果 通 信 的 双方 只 需要 一 方 被 另 一 方 鉴别 身份 ,这 样 的 认证 过 程 就 是 一 种 单 向 认证 ， 
而 在 双向 认证 过 程 中 ,通信 双方 需要 互相 认证 鉴别 各 自 的 身份 。 密 码 核对 其 实 也 是 一 种 单 
向 认证 ,只 是 这 种 认证 方法 还 没有 与 密 钥 分 发 相 结合 。 

从 是 否 使 用 硬件 来 分 ,身份 认证 技术 可 以 分 为 软件 认证 和 硬件 认证 。 

从 认证 需要 验证 的 条 件 来 看 ,身份 认证 技术 可 以 分 为 单 因 子 认证 和 双 因 子 认证 。 仅 通 
过 一 个 条 件 的 符合 来 证 明 一 个 人 的 身份 被 称 为 单 因子 认证 。 由 于 仅 使 用 一 种 条 件 判断 用 户 
的 身份 容易 被 仿冒 ,所 以 可 以 通过 组 合 两 种 不 同 条 件 来 证 明 一 个 人 的 身份 ,我 们 称 之 为 双 因 
子 认证 。 

从 认证 信息 来 看 ,身份 认证 技术 可 以 分 为 静态 认证 和 动态 认证 。 

从 认证 手段 来 分 ,身份 认证 技术 可 以 分 为 以 下 3 种 。 
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(1) 基于 用 户 所 知道 的 (秘密 如 : 密码 .个 人 识别 号 (PIN) 或 密 钥 ) 。 

(2) 基于 用 户 所 拥有 的 ( 令 牌 如 : 信用 卡 、 智 能 卡 .印章 ) 。 

(3) 基于 用 户 本 身 的 (生物 特征 如 : 语音 特征 、 笔 迹 特征 或 指纹 ) 。 

这 3 种 方法 可 以 单独 使 用 或 联合 使 用 。 

现在 计算 机 及 网 络 系统 中 常用 的 身份 认证 方法 主要 有 以 下 几 种 。 

1. 用 户 名 /密码 方式 

用 户 名 /密码 是 最 简单 的 ,也 是 最 常用 的 身份 认证 方法 , 它 是 基于 “用 户 所 知道 (what 
you know)” 的 验证 手段 。 它 的 一 般 做 法 是 每 一 个 合法 用 户 都 拥有 系统 给 的 一 个 用 户 名 / 密 
码 对 , 当 用 户 要 求 访问 提供 服务 的 系统 时 ,系统 就 要 求 用 户 输入 用 户 名 密码, 在 收 到 密码 
后 ,将 其 与 系统 中 存储 的 用 户 密码 进行 比较 ,以 确认 被 认证 对 象 是 否 为 合法 访问 者 。 如 果 正 
确 , 则 该 用 户 的 身份 得 到 了 验证 。 由 于 每 个 用 户 的 密码 是 由 这 个 用 户 自己 设 定 的 ,只 有 他 自 
己 才 知道 ,因此 只 要 能 够 正确 输入 密码 ,计算 机 就 认为 他 就 是 这 个 用 户 。 这 种 认证 方法 的 优 
点 在 于 ; 一 般 的 系统 (如 UNIX、Windows NT、NetWare 等 ) 都 提供 了 对 密码 认证 的 支持 ,对 
于 封闭 的 小 型 系统 来 说 不 失 为 一 种 简单 可 行 的 方法 。 

但 这 种 方式 是 一 种 单 因素 的 认证 , 它 的 安全 性 依赖 于 密码 。 而 实际 上 ,由 于 许多 用 户 为 
了 防止 忘记 密码 ,经 常会 采用 容易 被 他 人 猜 到 的 有 含义 的 字符 串 作 为 密码 ,例如 单一 字母 、 
账号 名 称 .一 串 相同 字母 或 是 有 规则 变化 的 字符 串 等 ,甚至 于 采用 电话 号 码 ,或 者 生日 .身份 
证 号 码 等 内 容 。 虽 然 很 多 系统 都 会 设计 登录 不 成 功 的 限制 次 数 ,但 不 足以 防止 长 时 间 的 尝 
试 猜测 ,只 要 经 过 一 定 的 时 间 用 户 名 和 密码 总 会 被 猜测 出 来 。 还 有 一 些 系统 会 使 用 强迫 更 
改 密码 的 方法 来 防止 这 种 人 侵 , 但 是 依照 习惯 及 好 记 的 原则 下 选择 的 密码 ,仍然 很 容易 被 猜 
测 出 来 。 因 而 这 种 方式 存在 着 许多 安全 隐患 , 极 易 造 成 密码 泄露 。 密 码 一 旦 被 泄露 ,用 户 即 
可 被 冒充 。 即 使 能 保证 用 户 密码 不 被 泄露 ,由 于 密码 是 静态 的 数据 ,并 且 在 验证 过 程 中 , 需 
要 在 计算 机 内 存 中 和 网 络 中 传输 ,而 每 次 验证 过 程 使 用 的 验证 信息 都 是 相同 的 ,很 容易 被 驻 
留 在 计算 机 内 存 中 的 木马 程序 或 网 络 中 的 监听 设备 截获 。 

因此 用 户 名 /密码 方式 是 一 种 极 不 安全 的 身份 认证 方式 。 而 且 常用 的 单一 密码 保护 设 
计 , 也 是 无 法 保障 网 络 重 要 资源 或 机 密 的 。 身 份 认 证 的 工具 应 该 具有 不 可 复制 及 防伪 等 功 
能 ,使 用 者 应 依照 自身 的 安全 程度 需求 选择 一 种 或 多 种 工具 进行 。 

2，IC 卡 认 证 方式 

IC 卡 是 一 种 内 置 了 集成 电路 的 卡片 ,卡片 中 存 有 与 用 户 身 份 相关 的 数据 ,可 以 认为 是 
不 可 复制 的 硬件 。IC 卡 由 合法 用 户 随身 携带 ,登录 时 必须 将 IC 卡 插入 专用 的 读 卡 器 中 读 
取 其 中 的 信息 ,以 验证 用 户 的 身份 。IC 卡 认 证 是 基于 “用 户 所 拥有 (what you have) ”的 手 
段 ,通过 IC 卡 硬件 的 不 可 复制 性 来 保证 用 户 身 份 不 会 被 仿冒 。 

在 一 般 的 观念 上 ,认为 系统 需要 输入 密码 , 才 算 是 安全 的 ,然而 重复 使 用 的 单一 密码 就 
能 确保 系统 的 安全 吗 ? 答案 是 否定 的 。 由 于 每 次 从 IC 卡 中 读 取 的 数据 还 是 静态 的 ,通过 内 
存 扫 描 或 网 络 监 听 等 技术 还 是 很 容易 截取 到 用 户 的 身份 验证 信息 。 因 此 ,静态 验证 的 方式 
还 是 存在 着 根本 的 安全 隐患 。 

3. 动态 密码 方式 

动态 密码 技术 是 一 种 让 用 户 的 密码 随时 间或 使 用 次 数 不 断 动态 变化 ,每 个 密码 只 使 用 
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一 次 的 技术 。 它 采用 一 种 被 称 为 动态 密码 卡 的 专用 硬件 ,密码 生成 芯片 运行 专门 的 密码 算 
法 ,根据 当前 时 间或 使 用 次 数 生成 当前 密码 。 用 户 使 用 时 只 需要 将 动态 令 牌 上 显示 的 当前 
密码 输入 客户 端 计算 机 ,由 这 个 信息 的 正确 与 否 ,可 以 对 使 用 者 的 身份 做 出 正确 的 识别 。 

由 于 每 次 使 用 的 密码 必须 由 动态 密码 卡 产生 ,只 有 合法 用 户 才能 持 有 该 硬件 ,所 以 只 要 
密码 验证 通过 就 可 以 认为 该 用 户 的 身份 是 可 靠 的 。 动 态 密码 技术 采用 一 次 一 密 的 方法 ,在 
每 次 使 用 时 会 产生 一 组 不 同 的 密码 , 供 拥有 者 使 用 。 密 码 内 容 每 次 改变 ,而 且 没 有 规则 性 ， 
不 能 由 产生 的 内 容 预 测 出 下 一 次 的 内 容 , 因 此 对 于 和 欲 窃 取 者 而 言 是 没有 意义 的 。 并 且 输 入 
方法 普遍 (一 般 计 算 机 键盘 即 可 ,甚至 于 可 用 于 一 般 门 禁 装置 或 者 电话 等 设备 ) ,能 符合 网 络 
行为 双方 的 需要 ,有 效 地 保证 了 用 户 身 份 的 安全 性 。 但 是 如 果 客 户 端 硬件 与 服务 器 端 程序 
的 时 间或 次 数 不 能 保持 良好 的 同步 ,就 可 能 发 生 合法 用 户 无 法 登录 的 问题 ,这 会 使 得 用 户 的 
使 用 非常 不 方便 。 

动态 密码 卡 的 产生 原理 : 采用 特定 的 运算 函数 或 流程 ,可 称 之 为 基本 函数 ,加 上 具有 变 
动 性 的 一 些 参 数 , 可 称 之 为 基本 元 素 。 利 用 基本 元 素 经 过 基本 函数 的 运算 流程 得 到 结果 ,再 
将 产生 的 内 容 转换 为 使 用 的 密码 。 由 于 基本 元 素 具 有 每 次 变化 的 特性 ,因此 每 次 产生 的 密 
码 都 会 不 相同 ,所 以 称 之 为 动态 密码 。 

动态 密码 卡 的 基本 元 素 依 目前 的 产品 分 类 来 看 ,大 致 上 可 分 为 3 种 产生 方法 : 一 是 依 时 
间 因 素 产生 ; 二 是 依 使 用 次 数 的 原理 ; 三 是 以 挑战 /响应 的 方式 作为 密码 产生 的 变化 因素 。 

4, 生物 特征 认证 方式 

基于 生物 特征 的 认证 方式 是 以 人 体 唯一 的 ,可 靠 的 稳定 的 生物 特征 (如 指纹 、 虹 膜 、 脸 
部 , 掌 纹 等 ) 为 依据 ,采用 计算 机 的 强大 功能 和 网 络 技术 进行 图 像 处 理 和 模式 识别 。 从 理论 
上 说 ,生物 特征 认证 是 最 可 靠 的 身份 认证 方式 ,因为 它 直接 使 用 人 的 物理 特征 来 表示 每 一 个 
人 的 数字 身份 ,几乎 不 可 能 被 仿冒 。 该 技术 具有 很 好 的 安全 性 .可 靠 性 和 有 效 性 ,与 传统 的 
身份 确认 手段 相 比 ,无 疑 产 生 了 质 的 飞跃 。 

不 过 ,生物 特征 认证 是 基于 生物 特征 识别 技术 的 ,受到 现在 的 生物 特征 识别 技术 成 熟 度 
的 影响 。 采 用 生物 特征 认证 还 具有 较 大 的 局 限 性 : 首先 ,生物 特征 识别 的 准确 性 和 稳定 性 
还 有 待 提高 ; 其 次 ,由 于 研发 投入 较 大 而 产 出 较 小 的 原因 ,生物 特征 认证 系统 的 成 本 非 
常 高 。 

5. USB Key 认证 方式 

基于 USB Key 的 身份 认证 方式 是 一 种 方便 、 安 全、 经 济 的 身份 认证 技术 , 它 采 用 软 硬 件 
相 结合 ,一 次 一 密 的 强 双 因子 认证 模式 ,很 好 地 解决 了 安全 性 与 易 用 性 之 间 的 矛盾 。 

USB Key 是 一 种 拥有 USB 接口 的 硬件 设备 , 它 内 置 单片机 或 智能 卡 芯 片 ,可 以 存储 用 
户 的 密 钥 或 数字 证 书 , 利 用 USB Key 内 置 的 密码 学 算法 实现 对 用 户 身 份 的 认证 。 基 于 
USB Key 身份 认证 系统 ,主要 有 两 种 应 用 模式 : 一 是 基于 挑战 /应 答 的 认证 模式 ; 二 是 基于 
PKI 体系 的 认证 模式 。 


6.1.2 常用 身份 认证 机 制 


曾经 有 这 样 一 个 漫画 ,一 条 狗 在 计算 机 面前 一 边 打 字 ,一 边 对 另 一 条 狗 说 :“ 在 Internet 
上 ,没有 人 知道 你 是 一 个 人 还 是 一 条 狗 1" 这 个 漫画 说 明了 在 Internet 上 很 难 识别 身份 。 那 
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么 在 计算 机 系统 和 网 络 系统 里 ,如 何 确认 访问 者 的 真实 身份 ? 如 何 通 过 技术 手段 保证 用 户 
的 物理 身份 与 数字 身份 相对 应 呢 ? 作为 实现 网 络 安全 的 重要 机 制 之 一 ,这 是 身份 认证 必须 
要 解决 的 问题 。 在 安全 的 网 络 通信 中 ,涉及 的 通信 各 方 必须 通过 某 种 形式 的 身份 认证 机 制 
来 证 明 他 们 的 身份 ,验证 用 户 的 身份 与 所 宣称 的 是 否 一 致 ,然后 才能 实现 对 于 不 同 用 户 的 访 
问 控制 和 记录 。 下 面 介 绍 几 种 常用 的 身份 认证 机 制 。 

1. 简单 认证 机 制 

最 简单 的 认证 机 制 就 是 密码 认证 。 密 码 认 证 的 识别 过 程 如 下 所 示 。 

(1) 用 户 将 密码 传送 给 计算 机 。 

(2) 计算 机 完成 对 密码 单 向 函数 值 的 计算 。 

(3) 计算 机 把 单 向 函数 值 和 计算 机 内 存储 的 值 做 比较 。 

然而 ,基于 密码 的 认证 方法 存在 下 面 几 点 不 足 。 

(1) 用 户 每 次 访问 系统 时 都 要 以 明文 方式 输入 密码 ,这 时 很 容易 泄密 。 

(2) 密码 在 传输 过 程 中 可 能 被 截获 。 

(3) 在 系统 中 ,所 有 用 户 的 密码 以 文件 形式 存储 在 认证 方 ,攻击 者 可 以 利用 系统 中 存在 
的 漏洞 获取 系统 的 密码 文件 。 

(4) 用 户 在 访问 多 个 不 同安 全 级 别 的 系统 时 ,都 要 求 用 户 提供 密码 ,用 户 为 了 记忆 的 方 
便 , 往 往 采 用 相同 的 密码 。 而 低 安 全 级 别 系统 的 密码 更 容易 被 攻击 者 获得 ,从 而 用 来 对 高 安 
全 级 别 系统 进行 攻击 。 

(5) 只 能 进行 单 向 认证 , 即 系统 可 以 认证 用 户 , 而 用 户 无 法 对 系统 进行 认证 。 攻 击 者 可 
能 伪装 成 系统 骗取 用 户 的 密码 。 

对 于 第 (2) 点 ,系统 可 以 对 密码 进行 加 密 传输 。 对 于 第 (3) 点 ,系统 可 以 对 密码 文件 进行 
不 可 逆 加 密 。 尽 管 如 此 ,攻击 者 还 是 可 以 利用 一 些 工具 很 容易 地 将 密码 和 密码 文件 解密 。 

对 此 ,改进 的 方法 是 采用 一 次 性 密码 (One-Time Password,OTP) 机 制 。 一 次 性 密码 机 
制 确保 在 每 次 认证 中 所 使 用 的 密码 不 同 ,以 对 付 重 放 攻 击 。 确 定 密 码 的 方法 有 3 种 : 第 1 种 
是 两 端 共同 拥有 一 串 随机 密码 ,在 该 串 的 某 一 位 置 保持 同步 ; 第 2 种 是 两 端 共 同 使 用 一 个 随 
机 序列 生成 器 ,在 该 序列 生成 器 的 初 态 保持 同步 ; 第 3 种 是 使 用 时 截 , 两 端 维持 同步 的 时 钟 。 

2. 基于 DCE/Kerberos 的 认证 机 制 

基于 DCE/ Kerberos 的 身份 认证 是 通过 用 户 在 安全 服务 器 上 登录 ,获得 身份 的 证 明 。 
当然 在 登录 前 该 用 户 必须 已 经 注册 ,同时 在 客户 端 必须 运行 DCE 的 客户 端 软 件 。 

DCE/Kerberos 是 一 种 被 证 明 为 非常 安全 的 双向 身份 认证 技术 。DCE/Kerberos 的 身 
份 认证 强调 了 客户 机 对 服务 器 的 认证 ; 而 其 他 产品 ,只 解决 了 服务 器 对 客户 机 的 认证 。 以 
自动 取款 机 ATM 为 例 ,客户 必须 防止 来 自 服务 端的 欺骗 ,因为 如 果 存 在 欺骗 ,那么 客户 将 
泄露 自己 的 账户 信息 。 几 年 前 , 据 国 外 媒体 报道 ,一 些 骗子 在 一 个 大 型 商场 安装 了 一 个 假 的 
自动 提 款 机 , 当 人 们 插入 银行 卡 并 输入 密码 时 ,这 台 机 器 就 记录 下 相关 的 信息 ,然后 反馈 出 
此 卡 无 效 的 信息 。 随 后 骗子 再 自己 制作 一 个 伪造 的 银行 卡 , 用 刚才 的 密码 ,到 合法 的 自动 提 
款 机 上 提 款 。 

Kerberos 是 一 种 为 网 络 通信 提供 可 信 第 三 方 服务 的 、 面 向 开放 系统 的 认证 机 制 。 每 当 
用 户 (Client) 申 请 得 到 某 服务 程序 (Server) 的 服务 时 ,用 户 和 服务 程序 会 首先 向 Kerberos 
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要 求 认 证 对 方 的 身份 ,认证 建立 在 用 户 (Client) 和 服务 程序 (Server) 对 Kerberos 的 信任 的 
基础 上 。 在 申请 认证 时 ,Client 和 Server 都 可 看 成 是 Kerberos 认证 服务 的 用 户 , 为 了 和 其 
他 服务 的 用 户 区 别 ,Kerberos 用 户 被 统称 为 Principle。Principle 既 可 以 是 用 户 也 可 以 是 某 
项 服务 。 认 证 双方 与 Kerberos 的 关系 可 用 图 6. 2 表示 。 


ye Ty 

7 、 
、 
、 


Principle/Client Principle/Server 


图 6.2 认证 双方 与 Kerberos 的 关系 


当 用 户 登 录 到 工作 站 时 ,Kerberos 对 用 户 进行 初始 认证 ,通过 认证 的 用 户 可 以 在 整个 
登录 时 间 得 到 相应 的 服务 。Kerberos 既 不 依赖 用 户 登 录 的 终端 ,也 不 依赖 用 户 所 请 求 的 服 
务 的 安全 机 制 , 它 本 身 提供 了 认证 服务 器 来 完成 用 户 的 认证 工作 。 时 间 蕉 ( 代 表 时 间 的 大 数 
字 ) 技 术 被 应 用 于 后 来 的 Kerberos 中 来 防止 重 放 攻击 。 

Kerberos 保存 Principle 及 其 密 钥 的 数据 库 。 私 有 密 钥 (Private Key) 只 被 Kerberos 和 
拥有 它 的 Principle 知道 。 使 用 私有 密 钥 ,Kerberos 可 以 创建 消息 使 一 个 Principle 相信 和 另 
一 个 Principle 的 真实 性 ,以 进行 认证 工作 。Kerberos 还 会 产生 一 种 临时 密 钥 , 称 作 会 话 密 
钥 (Session Key) ,通信 双方 在 具体 的 通信 中 使 用 该 密 钥 。 

Kerberos 提供 3 种 安全 等 级 。 

(1) 只 在 网 络 开 始 连 接 时 进行 认证 ,认为 连接 建立 起 来 后 的 通信 是 可 靠 的 。 认 证 式 网 
络 文件 系统 (Authenticated Network File System) 使 用 此 种 安全 等 级 。 

(2) 安全 消息 (Sage Messages) 传 递 : 对 每 次 消息 都 进行 认证 工作 ,但 是 不 保证 每 条 消 
息 不 被 泄露 。 

(3) 私有 消息 (Private Messages) 传 递 : 不 仅 对 每 条 消息 进行 认证 ,而且 对 每 条 消息 进 
行 加 密 。Kerberos 在 发 送 密码 时 就 采用 私有 消息 模式 。 

3. 基于 公共 密 钥 的 认证 机 制 

目前 在 Internet 上 也 使 用 基于 公共 密 钥 的 安全 策略 进行 身份 认证 ,具体 而 言 ,将 使 用 符 
合 X. 509 的 身份 证 明 。 使 用 这 种 方法 必须 有 一 个 第 三 方 的 授权 证 明 (CA) 中 心 为 客户 签发 
身份 证 明 。 客 户 和 服务 器 各 自从 CA 获取 证 明 , 并 且 信 任 该 授权 证 明 中 心 。 在 会 话 和 通信 
时 首先 交换 身份 证 明 ,其 中 包含 了 将 各 自 的 公 钥 交 给 对 方 ,然后 才 使 用 对 方 的 公 钥 验证 对 方 
的 数字 签名 ,交换 通信 的 加 密 密 钥 等 。 在 确定 是 否 接受 对 方 的 身份 证 明 时 ,还 需 检 查 有 关 服 
务 器 ,以 确认 该 证 明 是 否 有 效 。 

在 一 般 的 实现 机 制 中 , 常 将 基于 公共 密 钥 的 SSL 策略 集成 在 一 起 ,多 用 在 Web 应 用 方 
面 。 认 证 服务 器 通过 公共 密 钥 管理 服务 器 (PKMS) 与 SSL 连接 起 来 。PKMS 实际 上 是 身 
份 认证 网 关 和 建立 基于 SSL 的 加 密 通 道 , 客 户 端 不 必 使 用 客户 端 软 件 , 可 使 用 SSL 浏览 器 
登录 到 PKMS,PKMS 将 用 户 的 身份 映射 成 系统 用 户 身 份 并 且 通 过 RPC 进行 传输 ,也 就 是 
将 SSL 的 用 户 标识 传递 给 认证 服务 器 。PKMS 是 用 来 与 Internet 用 户 之 间 临 时 建立 起 相 
互信 任 的 安全 会 话 过 程 ,然后 将 Internet 用 户 身份 映射 到 系统 访问 控制 机 制 可 以 管理 的 用 
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户 身份 。 

在 公共 密 钥 管理 服务 器 PKMS 和 使 用 支持 SSL、S-HTTP 的 浏览 器 用 户 之 间 的 身份 验 
证 是 建立 在 公开 密 钥 加 密 数 字 签 名 和 授权 证 明之 上 的 。 数 字 签 名 工作 如 下 所 示 。 

。 用 户 产 生 一 段 文字 信息 然后 对 这 段 文字 信息 进行 单 向 不 可 道 的 变换 。 用 户 再 用 自 

己 的 秘密 密 钥 对 生成 的 文字 变换 进行 加 密 ,并 将 原始 的 文字 信息 和 加 密 后 的 文字 变 
换 结果 传送 给 指定 的 接收 者 。 这 段 经 过 加 密 的 文字 变换 结果 就 被 称 作 数 字 签名 。 

。 文字 信息 和 加 密 后 的 文字 变换 的 接收 者 将 收 到 的 文字 信息 进行 同样 的 单项 不 可 逆 
的 变换 。 同 时 也 用 发 送 方 的 公开 密 钥 对 加 密 的 文字 变换 进行 解密 。 如 果 解 密 后 的 
文字 变换 和 接收 方 自己 产生 的 文字 变换 一 致 ,那么 接收 方 就 可 以 相信 对 方 的 身份 ， 
因为 只 有 发 送 方 的 秘密 密 钥 能 够 产生 加 密 后 的 文字 变换 。 

。 要 向 发 送 方 验证 接收 方 的 身份 ,接收 方 根据 自己 的 密 钥 创建 一 个 新 的 数字 签名 然后 

重复 上 述 过 程 。 

一 旦 两 个 用 户 互 相 验 证 了 身份 ,他 们 就 可 以 交换 用 来 加 密 数据 的 密 钥 ,如 DES 加 密 密 
钥 ( 公 开 密 钥 加 密 方法 对 于 大 量 的 数据 加 密 来 说 速度 太 慢 )。 浏 览 器 应 该 能 够 在 类 似 的 交换 
过 程 使 用 它 的 公开 /秘密 密 钥 组 合 对 来 验证 它 的 身份 。 但 是 目前 还 没有 出 现 支持 浏览 器 身 
份 验证 的 产品 。 

为 了 利用 数字 签名 ,接收 方 必须 拥有 发 送 方 的 公开 密 钥 。 公 开 密 钥 是 通过 授权 证 明 来 
发 布 的 。 PKMS 把 它 的 经 公开 密 钥 加 密 的 CA 发 送 给 浏览 器 。 多 数 公 钥 产品 只 使 用 了 服务 
器 方 的 身份 验证 ,所 以 在 CA 中 只 需要 包含 PKMS 的 公开 密 钥 。 这 些 授权 证 明 是 由 可 信赖 
的 第 三 方 生成 的 ,并 且 经 过 可 信赖 的 第 三 方 用 秘密 密 钥 “数字 签名 ”的 。 

用 户 的 浏览 器 (或 者 其 他 客户 方 的 程序 ) 要 接收 由 受信 赖 的 第 三 方 签发 的 正确 的 CA 就 
必须 要 配置 受信 赖 的 第 三 方 的 公开 密 钥 (浏览 器 用 户 使 用 配置 好 受信 赖 的 第 三 方 公开 密 钥 
的 浏览 器 ,来 验证 CA 中 的 受信 赖 的 第 三 方 的 数字 签名 ) 。 如 果 该 浏览 器 没有 配置 受信 赖 的 
第 三 方 的 公开 密 钥 , 它 就 无 法 验证 安全 网 关 的 身份 。 一 些 浏览 器 预先 配置 有 受信 赖 的 第 三 
方 公开 密 钥 ,并 且 用 户 不 能 增加 其 他 的 签发 CA 的 ,受信 赖 的 第 三 方 。 这 限制 了 将 无 关公 司 
推出 的 浏览 器 的 用 户 与 公司 拥有 的 服务 器 之 间 建 立 相 互信 任 关系 的 能 力 。 

基于 DCE/ Kerberos 和 公共 密 钥 的 用 户 身 份 认 证 是 非常 安全 的 用 户 认证 形式 。 但 它们 
实现 起 来 比较 复杂 ,要求 通信 的 次 数 较 多 ,而 且 计 算 量 较 大 。 下 面 介绍 一 种 简易 ,高效 .安全 
的 用 户 身 份 认证 机 制 一 一 挑战 /应 答 式 身份 认证 。 

4. 基于 挑战 /应 答 的 认证 机 制 

顾名思义 ,基于 挑战 /应 答 (Challenge/ Response) 方 式 的 身份 认证 机 制 就 是 在 每 次 认证 
时 认证 服务 器 端 都 给 客户 端 发 送 一 个 不 同 的 “挑战 ? 字 串 ,客户 端 程序 收 到 这 个 "挑战 ? 字 串 
后 ,做 出 相应 的 “应 答 ”。 

使 用 者 只 需 安 装 客户 程序 ,申请 成 为 合法 用 户 ,运行 客户 程序 ,使 用 自己 的 用 户 名 /口令 
字 进 行 认证 ,就 可 以 安全 地 使 用 网 络 了 。 可 以 说 ,用 户 使 用 起 来 是 很 方便 的 。 以 下 是 一 个 典 
型 的 认证 过 程 。 

(1) 客户 向 认证 服务 器 发 出 请 求 ,要求 进行 身份 认证 。 

(2) 认证 服务 器 从 用 户 数据 库 中 查询 用 户 是 否 是 合法 的 用 户 , 若 不 是 , 则 不 做 进一步 
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处 理 。 

(3) 认证 服务 器 内 部 产生 一 个 随机 数 , 作 为 "提问 ” ,发送 给 客户 。 

(4) 客户 将 用 户 名 字 和 随机 数 合 并 ,使 用 单 向 Hash 函数 (例如 MD5 算法 ) 生 成 一 个 字 
节 串 作为 应 答 。 

(5) 认证 服务 器 将 应 答 串 与 自己 的 计算 结果 比较 , 若 两 者 相同 , 则 通过 一 次 认证 ; 否 
则 ,认证 失败 。 

(6) 认证 服务 器 通知 客户 认证 成 功 或 失败 。 

以 后 的 认证 由 客户 不 定时 地 发 起 ,过 程 中 没有 了 客户 认证 请 求 一 步 。 两 次 认证 的 时 间 
间隔 不 能 太 短 ,否则 就 会 给 网 络 .客户 和 认证 服务 器 带 来 太 大 的 开销 ; 但 也 不 能 太 长 ,否则 
不 能 保证 用 户 不 被 他 人 盗用 IP 地 址 ,一 般 定 为 1 一 2 分 钟 。 

密 钥 的 分 配 由 维护 模块 负责 , 当 用 户 进 行 注册 时 ,可 自行 设 定 自己 的 口令 字 。 用 户 的 密 
钥 由 口令 字 生 成 。 一 个 口令 字 必 须 经 过 两 次 口令 字 检 查 。 第 一 次 由 注册 程序 检查 ,强制 口 
令 字 必须 有 足够 的 长 度 ( 如 8 个 字符 )。 口 令 字 被 加 密 后 送 入 数据 库 中 ,这 个 口令 字 被 标记 
为 “未 检查 的 ”"。 第 二 次 由 离线 的 口令 字 检 查 工 具 进 行 检查 ,将 弱 口令 字 进 行 标记 ,当下 一 次 
用 户 认证 时 ,认证 服务 器 将 强制 用 户 修改 口令 字 。 密 钥 的 在 线 修改 由 认证 服务 器 完成 , 它 的 
过 程 与 认证 过 程 基本 类 似 。 

提问 -握手 认证 协议 (Challenge Handshake Authentication Protocol,CHAP) 采 用 的 就 
是 挑战 /应 答 方 法 , 它 通 过 三 次 握手 (3-Way Handshake) 方 式 对 被 认证 方 的 身份 进行 周期 性 
的 认证 。 其 认证 过 程 是 : 第 1 步 , 在 通信 双方 链 路 建立 阶段 完成 后 ,认证 方 (Authenticator) 
向 被 认证 方 (Peer) 发 送 一 个 提问 (Challenge) 消 息 ; 第 2 步 ,被 认证 方向 认证 方 发 回 一 个 响 
应 (Response) ,该 响应 由 单 向 散 列 函数 计算 得 出 , 单 向 散 列 函数 的 输入 参数 由 本 次 认证 的 
标识 符 、 秘 诀 (Secret) 和 提问 构成 ; 第 3 步 , 认 证 方 将 收 到 的 响应 与 它 自己 根据 认证 标识 符 、 
秘 雇 和 提问 计算 出 的 散 列 函数 值 进行 比较 , 若 相符 则 认证 通过 ,向 被 认证 方 发 送 “ 成 功 ” 消 
息 , 和 否则 ,发送 "失败 ?消息 , 断 开 连接 。 在 双方 通信 过 程 中 系统 将 以 随机 的 时 间 间 隔 重复 上 
述 3 步 认证 过 程 。 

CHAP 采 用 的 单 向 散 列 函数 算法 可 保证 由 已 知 的 提问 和 响应 不 可 能 计算 出 秘诀 。 同 
时 由 于 认证 方 的 提问 值 每 次 都 不 一 样 ,而 且 是 不 可 预测 的 ,因而 具有 很 好 的 安全 性 。 

CHAP 具有 以 下 优点 。 

"通过 不 断 地 改变 认证 标识 符 和 提问 消息 的 值 来 防止 回放 (Playback) 攻 击 。 

，。 利用 周期 性 的 提问 防止 通信 双方 在 长 期 会 话 过 程 中 被 攻击 。 

， 虽然 CHAP 进行 的 是 单 向 认证 ,但 在 两 个 方向 上 进行 CHAP 协商 ,也 能 实现 通信 双 

方 的 相互 认证 。 

。 CHAP 可 用 于 认证 多 个 不 同 的 系统 。 

CHAP 的 不 足 之 处 是 : CHAP 认证 的 关键 是 秘诀 .CHAP 的 秘诀 以 明文 形式 存放 和 使 
用 .不 能 利用 一 般 的 不 可 道 加 密 口令 数据 库 。 并 且 CHAP 的 秘诀 是 通信 双方 共享 的 ,这 一 
点 类 似 于 对 称 密 钥 体制 ,因此 给 秘诀 的 分 发 和 更 新 带 来 了 麻烦 ,这 就 要 求 每 个 通信 对 都 有 一 
个 共享 的 秘诀 ,这 不 适合 大 规模 的 系统 。 

著名 的 Radius 认证 机 制 也 是 采用 这 种 方式 , 它 的 设计 思路 是 在 客户 和 服务 器 之 间 采 用 
UDP 进行 交互 ,使 之 轻型 化 ; 采用 挑战 /应 答 方式 进行 认证 ,避免 口令 字 在 网 络 上 传输 ; 认 
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证 不 定期 地 进行 ,并 且 每 次 认证 的 报 文 不 同 ,防止 被 他 人 进行 “ 重 放 ”攻击 ,也 保证 用 户 不 会 
被 他 人 冒 用 地 址 而 受 损 。 
随 着 Internet 技术 ,尤其 是 网 络 安全 技术 的 发 展 , 必 将 涌现 出 更 多 更 好 的 用 户 认证 机 制 。 


6.1.3 OpenID 和 OAuth 认证 协议 


OpenID(Open Identity) 是 一 个 开放 的 、 基 于 URI/URL 的 、 去 中 心 化 的 身份 认证 协议 ， 
也 是 一 个 开放 的 标准 。 最 初 使 用 于 Live Journal 的 创始 人 Brad Fitzpatrick 与 互联 网 公司 
Six Apart 于 2005 年 6 月 共同 推出 的 一 套 身份 识别 系统 , 它 采 用 非 集中 身份 互 用 系统 (Yet 
Another Decentralized Identity Interoperability System,YADIS) 协 议 进行 核心 的 统一 资源 
标识 符 (URD 验 证 。 它 最 初 的 目的 是 方便 网 络 的 阅读 者 发 表 评 论 , 并 逐渐 延伸 成 为 一 个 更 
广泛 的 Internet 数字 身份 标识 管理 。 通 过 OpenID, 任 何人 都 能 够 使 用 一 个 URL 在 
Internet 上 用 统一 的 方式 来 认证 自己 。 

OpenID 的 工作 不 依赖 于 一 个 集中 的 认证 服务 ,可 以 在 任意 支持 该 OpenID 的 网 站 完成 
认证 工作 。 比 如 ,用 户 在 “360" 的 网 站 上 注册 成 为 会 员 ,然后 可 以 赁 注册 的 用 户 名 和 密码 , 登 
录 数 十 个 与 “360” 合 作 的 、 支 持 该 OpenID 的 团购 网 站 ,如 “ 美 团 网 ”“ 拉 手 网 ”等 ,而 在 这 些 
团购 网 站 上 登录 的 效果 ,就 犹如 是 已 经 在 这 些 网 站 上 注册 了 用 户 一 样 。 这 样 的 好 处 是 ,一 次 
注册 ,可 以 在 多 个 网 站 上 登录 ,从 而 实现 了 跨 域 的 单 点 登录 (Single Sign-On,SSO) 的 功能 ， 
用 户 再 也 无 须 进 行 重复 的 注册 和 登录 。 

OAuth(Open Authorization) 协 议 是 一 个 开放 的 授权 协议 ,其 目标 是 为 了 授权 第 三 方 在 
可 控 范围 下 访问 用 户 资源 。 简 单 地 说 ,OAuth 允许 用 户 授权 第 三 方 的 应 用 访问 他 们 存储 在 
另外 的 服务 提供 者 上 的 信息 ,而 不 需要 将 用 户 名 和 密码 提供 给 第 三 方 。 比 如 "人 人 网 ?需要 
访问 用 户 QQ 好 友 列 表 的 内 容 , 用 户 需要 授权 给 ”人 人 网 ”, 但 是 如 果 直 接 将 用 户 的 QQ 号 和 
密码 发 给 "人 人 网 ”, 很 难保 证 其 不 记录 下 来 ,从 而 对 用 户 产 生 安全 威胁 。OAuth 和 OpenID 
的 区 别 在 于 应 用 场景 的 区 别 ,OAuth 用 于 为 用 户 授 权 , 是 一 套 授权 协议 ; OpenID 是 用 来 认 
证 的 ,是 一 套 认证 协议 。 两 者 是 互补 的 。 一 般 支 持 OpenID 的 服务 都 会 使 用 到 OAuth。 

目前 OpenID 和 OAuth 也 是 Web 上 的 两 种 主要 安全 机 制 。 一 些 大 型 的 社交 网 络 (如 
Facebook) 已 在 使 用 ,OpenID 和 OAuth 为 用 户 提供 了 隐私 保护 和 网 络 资源 保护 。 

1.OpenID 协议 的 角色 和 标识 

OpenID 定义 了 如 下 3 个 角色 和 一 个 标识 。 

(1) 终端 用 户 (End User) : 利用 OpenID 进行 身份 认证 的 互联 网 用 户 , 也 可 以 指 代用 户 
所 使 用 的 浏览 器 。 

(2) 身份 提供 者 IDP(Identity Provider) : 提供 OpenID 账号 的 网 站 ,提供 OpenID 注 
册 、 存 储 、 验 证 等 服务 。 如 AOL、Yahoo!、Veristgn 等 。 

(3) 服务 提供 者 RP(Relying Party) : 支持 使 用 OpenID 登录 的 服务 商 , 也 就 是 用 户 要 
登录 的 网 站 。 如 LiveJournal、WikiSpaces 等 。 

(4) 身份 标识 页 (Identity Page) : 用 户 所 拥有 OpenID 的 URL 地 址 以 及 其 上 所 存放 的 
交 件 。 

例如 ,在 “360? 网 站 上 注册 用 户 名 为 zhansan 的 用 户 希望 登录 “ 美 团 网 ”进行 购物 , 则 用 
户 为 zhangsan,“360” 网 站 为 身份 提供 者 ,而 “ 美 团 网 ”是 服务 提供 者 。 
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2. OpenlID 的 工作 流程 


OpenID 的 工作 流程 如 图 6. 3 所 示 。 

(1) 终端 用 户 (End User) 需 要 使 用 服务 提供 者 (Relying Party) 的 服务 时 ,要 向 其 提供 
自己 的 标识 (OpenID URL ,可 以 在 页 面 上 输入 ,但 一 般 是 点 击 图 标 操作 ) 。 

(2) 服务 提供 者 根据 用 户 的 OpenID URL 与 身份 提供 者 (Identity Provider) 进 行 通信 ， 
这 里 的 通信 有 两 种 模式 : 一 种 是 在 后 台 进 行 , 不 提示 用 户 ; 一 种 是 使 用 访问 服务 提供 者 站 
点 的 同一 个 浏览 器 窗口 与 身份 提供 者 服务 器 交互 。 其 中 第 2 种 模式 更 为 常用 , 接 下 来 将 对 
第 2 种 模式 进行 分 析 。 这 一 步 结束 后 ,服务 提供 者 和 身份 提供 者 之 间 建 立 了 通信 。 

(3) 服务 提供 者 将 终端 用 户 引导 到 身份 提供 者 的 身份 认证 页 面 。 

(4) 终端 用 户 向 身份 提供 者 表明 身份 ,并 完成 认证 。 

(5) 认证 结束 后 ,身份 提供 者 将 终端 用 户 引 导 回 服务 提供 者 ,同时 返回 的 信息 包含 对 认 
证 用 户 的 判断 结果 ,以 及 服务 提供 者 需要 的 一 些 其 他 信息 。 

(6) 服务 提供 者 判断 返回 信息 的 有 效 性 ,车 认证 成 功 , 终 端 用 户 即 可 使 用 相应 的 功能 。 


终端 用 户 (End User) 


服务 提供 者 “| “2 ~| 身份 提供 者 
RP(Relying Party) 1 IDP(Identity Provider) 
2 


身份 标识 页 (Identity Page) 


6.3 ”OpenID 的 工作 流程 


OpenID 一 个 典型 的 应 用 场景 就 是 : 当 终 端 用 户 登录 一 个 支持 OpenID 的 网 站 (RP) 时 ， 
与 在 该 网 站 直接 进行 用 户 登录 的 方式 不 同 (该 终端 用 户 也 许 没 有 在 该 网 站 注册 过 ) ,该 用 户 
可 以 选择 以 OpenID 的 方式 登录 该 网 站 (一 些 网 站 上 标示 可 用 合作 网 站 账号 登录 )。 
OpenID 是 该 用 户 在 另 一 个 网 站 (OpenID 的 身份 提供 者 IDP) 注 册 的 一 个 URL。RP 就 会 根 
据 用 户 提 供 的 OpenID 去 发 现 IDP, 然 后 请 求 该 IDP 对 该 用 户 身份 进行 认证 。IDP 收 到 RP 
请 求 后 ,会 要 求 用 户 登录 IDP 认证 页 面 进行 认证 ,认证 后 ,IDP 会 提醒 该 用 户 是 否 允 许 外 部 
网 站 对 其 进行 认证 。 用 户 同意 后 , IDP 将 认证 结果 返回 给 RP。 用 户 就 可 以 登录 支持 
OpenID 的 网 站 了 。OpenID 的 交互 流程 如 图 6.4 所 示 。 

(1) 终端 用 户 请 求 登录 RP 网 站 ,该 用 户 选择 以 OpenID 方式 登录 。 

(2) RP 将 OpenID 的 登录 界面 返回 给 终端 用 户 。 

(3) 终端 用 户 以 OpenID 登录 RP 网 站 。 

(4) RP 网 站 对 用 户 的 OpenID 进行 标准 化 ,此 过 程 非常 复杂 。 由 于 OpenID 可 能 是 
URI, 也 可 能 是 XRI, 所 以 标准 化 方式 各 不 相同 。 如 果 OpenID 以 xri://、xri://$ip 或 者 
xri:// $ dns 开头 , 则 要 先 去 掉 这 些 符号 ; 然后 对 如 下 的 字符 串 进行 判断 ,如 果 第 1 个 字符 
是 二 、@、 十 、$ 、1, 则 视 为 标准 的 XRI, 否 则 视 为 HTTP URL (车 没有 http, 要 为 其 增加 
http://)。 

(5) RP 发 现 IDP, 如 果 OpenID 是 XRI, 就 采用 XRI 解析 ; 如 果 是 URL, 则 用 YADIS 
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协议 解析 ; 若 YADIS 解析 失败 , 则 用 HTTP 发 现 。 
(6) RP 与 IDP 建立 一 个 关联 。 两 者 之 间 可 以 建立 一 个 安全 通道 ,用 于 传输 信息 并 降低 


交互 次 数 。 


(7) IDP 处 理 RP 的 关联 请 求 。 
(8) RP 请 求 IDP 对 用 户 身份 进行 验证 。 
(9) IDP 对 用 户 认证 ,如 请 求 用 户 进行 登录 认证 。 
(10) 用 户 登录 IDP。 

IDP 将 认证 结果 返回 给 RP。 
RP 对 IDP 的 结果 进行 分 析 。 


(11) 
(12) 
(13) 


用 户 可 以 集中 地 统一 管理 自己 的 身份 信息 ,如 OpenID URL。 协 议 OpenID 不 依赖 


经 RP 分 析 后 ,如 果 用 户 合法 , 则 返回 用 户 认证 成 功 ,可 以 使 用 RP 服务 。 


终端 用 户 
(End User) 


支持 OpenID 服 务 提供 者 


OpenlD 身 份 提供 者 IDP 


PR(Relying Provider) 


(Identity Provider) 


1: 请 求 登录 


2: OpcnID 的 登录 界面 
3: 用 OpenID 身 份 登录 


呈 用 户 认证 ， 请 求 用 户 登录 


由 


4: OpenlD 标 准 化 
| se | 


人 6: 关联 请 求 


5: 发 现 OpenlD 


7: 处 理 关联 


8: 请 求 对 用 户 进行 身份 验证 


:一 ---- 巧 


EE 
10: 用 户 登 录 
:返回 认证 结果 
13: 用 户 合法 ， 可 以 使 用 PR 11: 返回 认证 
提供 的 服务 人 
12: 对 认证 结果 分 析 验 证 


6.4 ”OpenID 的 交互 流程 


OpenID 是 一 个 开放 的 身份 认证 协议 , 它 描述 了 用 户 如 何以 分 布 式 的 方式 认证 身份 。 
这 样 ,服务 提供 商 只 需要 关注 自己 的 业务 体系 本 身 , 而 不 用 再 重复 考虑 认证 机 制 , 同 样 也 使 


F 一 个 


集中 的 认证 中 心 来 认证 用 户 的 身份 。 此 外 ,无 论 是 业务 还 是 OpenID 标准 ,都 不 需要 强制 一 
种 特定 的 认证 机 制 来 认证 用 户 。 因 此 ,用 户 的 认证 机 制 可 以 有 多 种 ,通用 的 认证 方式 (如 用 
户 名 /密码 ) 或 其 他 新 颖 的 认证 方式 (如 智能 卡 或 生物 识别 技术 )。 

此 外 ,OpenID 跨 域 工作 的 方式 ,非常 适合 现在 不 同 服务 提供 商 之 间 的 用 户 共享 ,一 方 


面 增加 了 服务 提供 商 的 潜在 客户 , 另 一 方面 也 给 用 户 提供 了 更 好 的 登录 体验 。 
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3. OAuth 协议 


OAuth 是 一 个 开放 的 授权 协议 ,允许 用 户 在 不 泄露 用 户 名 /密码 的 情况 下 ,和 其 他 网 站 
共享 存储 在 另 一 个 网 站 上 的 个 人 资源 (照片 、 视 频 、. 通 信 录 等 ) 。 例 如 ,一 个 支持 OAuth 的 照 
片 共享 网 站 ,允许 用 户 使 用 第 三 方 打印 网 站 在 不 需要 获得 用 户 名 /密码 的 情况 下 ,访问 和 打 
印 用 户 的 私人 照片 。OAuth 是 一 种 授权 服务 ,不 同 于 OpenID, 但 与 OpenID 相辅相成 。 
OAuth 是 为 了 让 用 户 授 权 一 个 应 用 程序 去 访问 用 户 的 信息 ,如 他 的 网 上 相册 或 通信 有 录 及 好 
友 列 表 。 这 可 以 让 用 户 很 容易 与 多 个 网 站 共享 信息 ,如 在 线 相册 。 

IETF 目前 正在 起 草 OAuth 2.0 协议 ,同时 Twitter、Facebook Google、AOL 几 个 大 型 
网 站 也 在 开发 和 部 署 OAuth 2.0 协议 ,为 用 户 信息 和 网 络 资源 提供 安全 保护 。 

OAuth 2.0 定义 了 如 下 4 个 角色 。 

(1) 资源 所 有 者 (Resource Owner) : 一 个 实体 ,能 授权 一 个 应 用 ( 即 客 户 端 访问 受 保 
护 的 资源 。 

(2) 客户 端 (Client) : 代表 受 保护 资源 的 应 用 程序 ,能 获得 授权 并 请 求 访问 受 保护 的 资源 。 

(3) 资源 服务 器 (Resource Server): 一 个 服务 器 ,托管 受 保护 资源 的 服务 器 ,通过 存 取 
令 牌 (Token) 接 收受 保护 资源 的 访问 请 求 , 并 能 应 答对 受 保护 的 资源 的 请 求 。 

(4) 授权 服务 器 (Authorization Server) : 一 个 服务 器 ,能 成 功 认 证 资源 所 有 者 及 获得 资 
源 所 有 者 的 授权 ,认证 成 功 及 获得 授权 后 能 发 布 访问 令 牌 。 它 可 能 与 资源 服务 器 合并 ,也 可 
能 是 一 个 独立 的 网 络 设备 。 

4. OAuth 2.0 的 工作 流程 


OAuth 2.0 的 工作 流程 如 图 6.5 所 示 。 

(1) 客户 端 想 要 访问 受 资源 所 有 者 控制 的 网 络 资源 ,但 客户 端 并 不 知道 资源 所 有 者 的 
认证 凭证 。 客 户 端 需要 在 授权 服务 器 注册 ,以 便 获取 客户 端的 认证 凭据 (如 client_id、client 
_secret) 。 客 户 端 请 求 资源 所 有 者 授权 ,访问 用 户 的 网 络 资源 。 

(2) 资源 所 有 者 在 授权 客户 端 访问 前 ,资源 所 有 者 需要 通过 授权 服务 器 的 认证 。 

(3) 资源 所 有 者 认证 成 功 后 ,客户 端 接收 到 一 个 访问 资源 授权 凭证 ,授权 凭证 代表 资源 
所 有 者 允许 客户 端 访 问 网 络 资源 。 

(4) 客户 端 向 授权 服务 器 请 求 访问 令 牌 ,请 求 消息 包含 用 于 认证 客户 端的 认证 凭证 和 
访问 资源 的 授权 凭证 。 

(5) 授权 服务 器 根据 客户 端的 认证 凭证 认证 客户 端 ,并 验证 资源 访问 授权 凭证 的 有 效 
性 ,如 果 都 成 功 , 则 向 客户 端 发 布 一 个 访问 令 牌 。 

(6) 客户 端 向 资源 服务 器 请 求 访问 受 保护 的 资源 ,请 求 包含 一 个 访问 令 牌 。 资 源 服务 
器 验证 访问 令 牌 的 有 效 性 ,如 果 有 效 , 则 客户 端 能 访问 资源 服务 器 上 受 保护 的 资源 。 

OAuth 是 一 个 令 牌 的 协议 。 能 用 于 在 Web 2.0 中 授权 第 三 方 安全 访问 网 络 资源 。 一 
些 电信 运营 商 已 认可 OAuth 能 确保 第 三 方 应 用 安全 访问 电信 网 络 资源 ,而 且 GSMA 的 
RCS 计划 已 经 明确 要 求 使 用 OAuth 2.0 来 保证 网 络 资源 的 授权 访问 。 

OpenID 和 OAuth 的 作用 就 是 为 开放 平台 提供 规范 .简洁 、 安 全 的 通信 、 授 权 和 管理 机 
制 。 这 两 种 协议 已 经 得 到 了 很 多 大 型 厂商 的 支持 ,如 Yahoo、Facebook、Twitter、Microsoft、 
Google 等 ,国内 的 新 浪 、 豆 辩 、 腾 讯 等 都 已 开始 应 用 这 两 项 技术 。 
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资源 所 有 者 -| 授权 服务 器 | 一 | 资源 服务 器 


图 6.5 OAuth 2.0 的 工作 流程 


6.2 访问 控制 概述 


一 个 经 过 计算 机 系统 识别 和 验证 后 的 用 户 ( 合 法 用 户 ) 进 入 系统 后 ,并 非 意 味 着 他 具有 
对 系统 所 有 资源 的 访问 权限 。 例 如 ,在 一 个 关系 数据 库 系 统 中 ,可 能 已 建立 了 若干 张 表 ,每 
一 张 表 中 都 存放 了 许多 数据 ,用 户 对 表 中 的 数据 一 般 来 说 可 以 进行 如 下 几 种 操作 : 查询 \ 插 
入 (添加 ) ,修改 和 删除 。 但 在 一 个 实际 的 应 用 系统 中 ,并 不 是 每 一 个 用 户 对 每 一 张 表 中 的 每 一 
个 数据 都 有 以 上 这 些 操作 的 权限 ,用 户 对 数据 访问 的 权限 必须 受到 一 定 的 控制 。 比 如 在 一 个 
超市 管理 系统 中 ,限制 收银 员 可 以 进行 查询 .添加 操作 ,主管 可 以 进行 查询 ,修改 ,删除 操作 。 

访问 控制 的 任务 就 是 要 根据 一 定 的 原则 对 合法 用 户 的 访问 权限 进行 控制 ,以 决定 他 可 
以 访问 哪些 资源 以 及 以 什么 样 的 方式 访问 这 些 资源 。 访 问 控制 是 信息 安全 保障 机 制 的 核心 
内 容 , 它 是 实现 数据 保密 性 和 完整 性 机 制 的 主要 手段 。 


6.2.1 访问 控制 的 基本 概念 


访问 控制 是 为 了 限制 访问 主体 (或 称 为 发 起 者 ,是 一 个 主动 的 实体 ; 如 用 户 、 进 程 和 服 
务 等 ) ,对 访问 客体 (需要 保护 的 资源 ) 的 访问 权限 ,从 而 使 计算 机 系统 在 合法 范围 内 使 用 ; 
访问 控制 机 制 决定 用 户 及 代表 一 定 用 户 利 益 的 程序 能 做 什么 ,及 做 到 什么 程度 。 为 了 方便 
后 续 章 节 的 叙述 ,首先 介绍 一 下 访问 控制 相关 的 概念 和 术语 。 

1. 主体 
主体 (Subject) 是 指 主 动 的 实体 ,是 访问 的 发 起 者 , 它 造成 了 信息 的 流动 和 系统 状态 的 
改变 ,主体 通常 包括 人 、 进 程 和 设备 。 

2. 客体 

客体 (Object) 是 指 包含 或 接受 信息 的 被 动 实体 ,客体 在 信息 流动 中 的 地 位 是 被 动 的 ,是 
处 于 主体 的 作用 之 下 ,对 客体 的 访问 意味 着 对 其 中 所 包含 信息 的 访问 。 客 体 通 常 包 括 文件 、 
设备 ,信号 量 和 网 络 结 点 等 。 而 且 , 通 常 我 们 把 主体 也 看 做 是 一 个 客体 。 因 为 当 一 个 程序 存 
放 在 内 存 或 硬盘 上 时 ,那么 它 就 与 其 他 数据 一 样 被 当 作客 体 ,可 供 其 他 主体 访问 ,但 当 这 个 
程序 运行 时 , 它 就 成 为 主体 ,可 以 去 访问 别 的 客体 。 

3. 访问 

访问 (Access) 是 使 信息 在 主体 和 客体 之 间 流 动 的 一 种 交互 方式 。 访 问 包括 读 取 数 据 、 
更 改 数 据 、 运 行程 序 ,发 起 连接 等 。 
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4. 访问 控制 

访问 控制 (Access Control) 规 定 了 主体 对 客体 访问 的 限制 ,并 在 身份 识别 的 基础 上 , 根 
据 身 份 对 提出 资源 访问 的 请 求 加 以 控制 。 访 问 控制 决定 了 谁 能 够 访问 系统 ,能 访问 系统 的 
何 种 资源 以 及 如 何 使 用 这 些 资 源 。 适 当 的 访问 控制 能 够 阻止 未 经 允许 的 用 户 有 意 或 无 意 地 
获取 数据 。 访 问 控制 所 要 控制 的 行为 主要 有 以 下 几 类 : 读 取 数 据 、 运 行 可 执行 文件 ,发 起 网 
络 连 接 等 。 访 问 控制 的 手段 包括 用 户 识别 代码 密码 、 登 录 控制 资源 授权 (例如 用 户 配置 文 
件 、 资 源 配置 文件 和 控制 列表 ) ,授权 核查 、 日 志 , 审 计 等 。 访 问 控制 是 对 信息 系统 资源 进行 
保护 的 重要 措施 ,也 是 计算 机 系统 最 重要 和 最 基础 的 安全 机 制 。 


6.2.2 访问 控制 技术 


根据 控制 手段 和 具体 目的 的 不 同 , 人 们 将 访问 控制 技术 划分 为 几 个 不 同 的 级 别 ,包括 入 
网 访问 控制 .网络 权限 控制 .目录 级 控制 .属性 控制 以 及 网 络 服务 器 的 安全 控制 等 。 

入 网 访问 控制 为 网 络 访问 提供 了 第 一 层 访问 控制 ,通过 控制 机 制 来 明确 能 够 登录 到 服 
务 器 并 获取 网 络 资源 的 合法 用 户 、. 用 户 和 人 网 的 时 间 和 准许 和 人 网 的 工作 站 等 。 基 于 用 户 名 和 
密码 的 用 户 和 人 网 访问 控制 可 分 为 3 个 步骤 : 用 户 名 的 识别 与 验证 .用户 密码 的 识别 与 验证 
和 用 户 账号 的 默认 限制 检查 。 如 果 有 任何 一 个 步骤 未 通过 检验 ,该 用 户 便 不 能 进入 该 网 络 。 
对 网 络 用 户 的 用 户 名 和 密码 进行 验证 是 防止 非法 访问 的 第 一 道 防线 。 为 保证 密码 的 安全 
性 ,用 户 密码 不 能 显示 在 显示 屏 上 ,密码 长 度 应 不 少 于 6 个 字符 ,密码 字符 最 好 是 数字 ,字母 
和 其 他 字符 的 混合 ,用 户 密码 必须 经 过 加 密 。 用 户 还 可 采用 一 次 性 用 户 密码 ,也 可 用 便携 式 
验证 器 (如 智能 卡 ) 来 验证 用 户 的 身份 。 网 络 管理 员 可 以 控制 和 限制 普通 用 户 的 账号 使 用 、 
访问 网 络 的 时 间 和 方式 。 只 有 系统 管理 员 才 能 建立 用 户 账号 。 用 户 密 码 应 是 每 个 用 户 访问 
网 络 所 必须 提交 的 “证 件 ” 用 户 可 以 修改 自己 的 密码 ,但 系统 管理 员 应 该 可 以 控制 密码 的 以 
下 几 个 参数 : 最 小 口令 长 度 、 强 制 修改 密码 的 时 间 间 隔 、 密 码 的 唯一 性 、 密 码 过 期 失效 后 允 
许 人 网 的 宽 限 次 数 。 用 户 名 和 密码 被 验证 有 效 之 后 ,再 进一步 履行 用 户 账 号 的 默认 限制 检 
查 。 网 络 应 能 控制 用 户 登 录入 网 的 站 点 、 限 制 用 户 入 网 的 时 间 、 限 制 用 户 入 网 的 工作 站 数 
量 。 当 用 户 对 交 费 网 络 的 访问 “资费 "用 尽 时 ,网 络 还 应 能 对 用 户 的 账号 加 以 限制 ,用 户 此 时 
应 无 法 进入 网 络 访问 网 络 资源 。 网 络 应 对 所 有 用 户 的 访问 进行 审计 。 如 果 多 次 输入 密码 不 
正确 , 则 认为 是 非法 用 户 的 入 侵 , 应 给 出 报警 信息 。 由 于 用 户 名 密码 验证 方式 容易 被 攻破 ， 
目前 很 多 网 络 都 开始 采用 基于 数字 证 书 的 验证 方式 。 

网 络 权限 控制 是 针对 网 络 非法 操作 所 提出 的 一 种 安全 保护 措施 。 能 够 访问 网 络 的 合法 
用 户 被 划分 为 不 同 的 用 户 组 ,不 同 的 用 户 组 被 赋予 不 同 的 权限 。 访 问 控制 机 制 明 确 了 不 同 
用 户 组 可 以 访问 哪些 目录 、 子 目录 文件 和 其 他 资源 等 ,指明 不 同 用 户 对 这 些 文件 .目录 、 设 
备 能 够 执行 哪些 操作 等 。 实 现 方式 主要 有 两 种 : 受托 者 指派 和 继承 权限 屏蔽 (CIRM)。 受 托 
者 指派 用 于 控制 用 户 和 用 户 组 如 何 使 用 网 络 服务 器 的 目录 、 文 件 和 设备 。 继 承 权 限 屏 蔽 相 
当 于 一 个 过 滤器 ,可 以 限制 子 目录 从 父 目 录 那 里 继承 哪些 权限 。 我 们 可 以 根据 访问 权限 将 
用 户 分 为 以 下 几 类 : 特殊 用 户 ( 即 系统 管理 员 ); 一 般 用 户 , 系 统管 理 员 根据 他 们 的 实际 需 
要 为 他 们 分 配 操作 权限 ; 审计 用 户 ,负责 对 网 络 的 安全 控制 与 资源 使 用 情况 的 审计 。 用 户 
对 网 络 资源 的 访问 权限 可 以 用 访问 控制 表 来 描述 。 

目录 级 安全 控制 是 针对 用 户 设置 的 访问 控制 ,用 于 控制 用 户 对 目录 、 文 件 和 设备 的 访 
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问 。 用 户 在 目录 一 级 指定 的 权限 对 所 有 文件 和 子 目 录 有 效 , 用 户 还 可 以 进一步 指定 对 目录 
下 的 子 目 录 和 文件 的 权限 。 对 目录 和 文件 的 访问 权限 一 般 有 8 种 : 系统 管理 员 权 限 、 读 权 
限 、 写 权限 .创建 权限 删除 权限 .修改 权限 .文件 查找 权限 和 访问 控制 权限 。 用 户 对 文件 或 
目标 的 有 效 权限 取决 于 以 下 3 个 因素 : 用 户 的 受托 者 指派 .用 户 所 在 组 的 受托 者 指派 继承 
权限 屏蔽 取消 的 用 户 权限 。 一 个 网 络 管理 员 应 当 为 用 户 指定 适当 的 访问 权限 ,这 些 访 问 权 
限 控制 着 用 户 对 服务 器 的 访问 。8 种 访问 权限 的 有 效 组 合 可 以 让 用 户 有 效 地 完成 工作 , 同 
时 又 能 有 效 地 控制 用 户 对 服务 器 资源 的 访问 ,从 而 加 强 了 网 络 和 服务 器 的 安全 性 。 

属性 安全 控制 在 权限 安全 的 基础 上 提供 更 进一步 的 安全 性 。 当 用 户 访问 文件 .目录 和 
网 络 设备 时 ,网 络 系统 管理 员 应 该 给 出 文件 .目录 的 访问 属性 ,网 络 上 的 资源 都 应 预先 标 出 
安全 属性 ,用 户 对 网 络 资源 的 访问 权限 对 应 一 张 访问 控制 表 , 用 以 表明 用 户 对 网 络 资源 的 访 
问 能 力 。 属 性 设置 可 以 覆盖 已 经 指定 的 任何 受托 者 指派 和 有 效 权 限 。 属 性 能 够 控制 以 下 几 
个 方面 的 权限 : 向 某 个 文件 写 数据 、 复 制 文件 .删除 目录 或 文件 .查看 目录 和 文件 、 执 行文 
件 、 隐 含 文件 ,共享 、 系 统 属性 等 ,避免 发 生 非法 访问 的 现象 。 

网 络 服务 器 的 安全 控制 是 由 网 络 操作 系统 负责 ,但 这 些 访 问 控制 的 机 制 比较 粗糙 。 网 
络 服务 器 的 安全 控制 包括 可 以 设置 密码 锁定 服务 器 控制 台 , 以 防止 非法 用 户 修改 ,删除 重要 
信息 或 破坏 数据 。 

总 之 ,访问 控制 可 以 用 来 保证 资源 不 被 非法 使 用 和 访问 ,是 网 络 安全 防范 和 保护 的 主要 
策略 ,也 是 保证 计算 机 系统 安全 最 重要 的 核心 策略 之 一 。 


6.2.3 访问 控制 原理 


访问 控制 的 目的 是 为 了 防止 非法 用 户 进 入 系统 及 合法 用 户 对 系统 资源 的 非法 使 用 ,也 
就 是 说 ,访问 控制 的 基本 任务 是 限制 访问 主体 对 访问 客体 的 访问 权限 ,保证 主体 对 客体 的 所 
有 直接 访问 都 是 经 过 授权 的 。 因 此 访问 控制 包括 两 个 重要 过 程 : 通过 “鉴别 
(Authentication) "来 验证 主体 的 合法 身份 ;: 通过 "授权 (Authorization) "来 限制 用 户 可 以 对 
某 一 类 型 的 资源 进行 何 种 类 型 的 访问 。 

例如 , 当 用 户 试图 访问 您 的 Web 服务 器 时 ,服务 器 执行 几 个 访问 控制 进程 来 识别 用 户 
并 确定 允许 的 访问 级 别 。 其 访问 控制 过 程 简 述 如 下 。 

(1) 客户 请 求 服务 器 上 的 资源 。 

(2) 将 依据 IIS 中 IP 地 址 限制 检查 客户 机 的 IP 地 址 。 如 果 IP 地 址 是 禁止 访问 的 , 则 
请 求 就 会 失败 并 且 向 用 户 返 回 "403 禁止 访问 ”消息 。 

(3) 如 果 服 务 器 要 求 身 份 验证 , 则 服务 器 从 客户 端 请 求 身份 验证 信息 。 浏 览 器 既 提 示 
用 户 输入 用 户 名 和 密码 ,也 可 以 自动 提供 这 些 信 息 ( 在 用 户 访问 服务 器 上 任何 信息 之 前 ,可 
以 要 求 用 户 提供 有 效 的 Microsoft Windows 用 户 账户 ,用户 名 和 密码 。 该 标识 过 程 就 称 为 
“身份 验证 ”。 可 以 在 网 站 或 FTP 站 点 .目录 或 文件 级 别 设置 身份 验证 。 可 以 使 用 Internet 
信息 服务 (IIS 提供 的 ) 身 份 验证 方法 来 控制 对 网 站 和 FTP 站 点 的 访问 ) 。 

(4) IIS 检查 用 户 是 否 拥有 有 效 的 Windows 用 户 账户 。 如 果 用 户 没 有 提供 , 则 请 求 就 
会 失败 并 且 向 用 户 返 回 *401 拒绝 访问 ”消息 。 

(5) IIS 检查 用 户 是 否 具 有 请 求 资源 的 Web 权限 。 如 果 用 户 没有 提供 , 则 请 求 就 会 失 
败 并 且 向 用 户 返回 “403 禁止 访问 ?消息 。 
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(6) 添加 任何 安全 模块 ,如 Microsoft ASP. NET 模拟 。 

(7) IIS 检查 有 关 静 态 文件 .Active Server Pages(ASP) 和 通用 网 关 接口 (CGI) 文 件 上 资 
源 的 NTFS 权限 。 如 果 用 户 不 具备 资源 的 NTFS 权限 , 则 请 求 就 会 失败 并 且 向 用 户 返 回 
“401 拒绝 访问 ?消息 。 

(8) 如 果 用 户 具 有 NTFS 权限 , 则 可 完成 该 请 求 。 

通常 使 用 访问 控制 矩阵 来 限制 主体 对 客体 的 访问 权限 。 访 问 控制 机 制 可 以 用 一 个 三 元 
组 (S,O,A) 来 表示 。 其 中 ,S 代表 主体 集合 ,O 代表 客体 集合 ,A 代表 属性 集合 ,A 集合 中 列 
出 了 主体 S; 对 客体 0; 所 人 允许 的 访问 权限 。 这 一 关系 可 以 用 一 个 访问 控制 矩阵 来 表示 。 


ao aol … ao So 
a a dan 各 

A=-| ” ”= 上 [oo o … 0,] 
的 Sh 


其 中 ,Gi 二 0,1,…,m) 是 主体 S; 对 所 有 客体 的 权限 集合 ; O; (二 0,1,…, 台 是 客体 O; 对 所 有 
主体 的 访问 权限 集合 。 即 对 于 任意 一 个 s;€ S, 都 存在 一 个 相应 的 a; EA, 且 aj; 二 PC(S;,0O;), 其 
中 己 是 访问 权限 的 函数 。 ai (i=0,1,° ,ms j 二 0,1,…,n) 就 代表 了 主体 S; 可 以 对 客体 O; 
执行 什么 样 的 操作 。 

访问 控制 涉及 的 领域 很 广 , 方 法 也 很 多 ,根据 控制 策略 的 不 同 ,访问 控制 可 以 划分 为 自 
主 访问 控制 .强制 访问 控制 和 基于 角色 的 访问 控制 3 种。 下 面 各 节 将 分 别 介绍 这 几 种 不 同 
类 型 的 访问 控制 策略 。 


6.3 自主 访问 控制 


自主 访问 控制 (Discretionary Access Control,DAC) 是 指 对 某 个 客体 具有 拥有 权 ( 或 控 
制 权 ) 的 主体 能 够 将 对 该 客体 的 一 种 访问 权 或 多 种 访问 权 自 主 地 授予 其 他 主体 ,并 在 随后 的 
任何 时 刻 将 这 些 权限 回收 。 这 种 控制 是 自主 的 ,也 就 是 指 具 有 授予 某 种 访问 权力 的 主体 (用 
户 ) 能 够 自己 决定 是 否 将 访问 控制 权限 的 某 个 子 集 授予 其 他 的 主体 或 从 其 他 主体 那里 收回 
他 所 授予 的 访问 权限 。 

通常 数据 库 中 的 数据 可 以 是 由 各 个 不 同 的 用 户 存储 的 ,这 些 用 户 可 以 代表 个 人 也 可 以 
代表 某 个 团体 或 一 级 组 织 。 存 储 某 个 数据 的 用 户 ,我 们 称 他 为 该 数据 的 拥有 者 。 也 就 是 说 ， 
在 自主 访问 控制 中 ,数据 的 拥有 者 有 权 决 定 系 统 中 的 哪些 用 户 对 他 的 数据 具有 访问 权 , 以 及 
具有 什么 样 的 访问 权 , 系 统 中 的 用 户 要 对 某 个 数据 进行 某 种 方式 的 访问 时 ,必须 是 经 过 该 数 
据 的 拥有 者 授权 了 的 。 

例如 ,假设 某所 大 学 使 用 计算 机 系统 进行 学 生 信息 的 管理 工作 。 教 务 处 在 系统 中 建立 
了 一 张 表 ,存储 了 每 个 学 生 的 有 关 信 息 , 如 姓名 、 年 龄 .年 级 专业、. 系 别 、 成 绩 、 受 过 哪些 奖励 
和 处 分 等 。 教 务 处 不 允许 每 个 学 生 都 能 看 到 所 有 这 些 信 息 。 他 可 能 按 这 样 一 个 原则 来 控 
制 ; 每 个 学 生 可 以 看 到 自己 的 有 关 信 息 , 但 不 允许 看 到 别人 的 ; 每 个 班 的 老师 可 以 随时 查 
看 自己 班 的 学 生 的 有 关 信 息 ,但 不 能 查看 其 他 班 学 生 的 信息 。 并 且 教 务 处 可 限制 教务 处 以 
外 的 所 有 用 户 不 得 修改 这 些 信息 .也 不 能 插入 和 删除 表 中 的 信息 ,这 些 信息 的 拥有 者 是 教务 
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处 。 教 务 处 可 按照 上 述 原 则 对 系统 中 的 用 户 ( 该 大 学 的 所 有 老师 和 学 生 ) 进 行 授权 。 于 是 其 
他 用 户 只 能 根据 教务 处 的 授权 来 对 这 张 表 进行 访问 。 

在 计算 机 中 如 何 实现 上 述 要 求 呢 ? 根据 教务 处 的 授权 规则 ,计算 机 中 相应 存放 有 一 张 
表 , 将 教务 处 的 授权 情况 记录 下 来 ,我 们 称 它 为 授权 表 。 以 后 当 任 何 用 户 对 教务 处 的 数据 要 
进行 访问 时 ,系统 首先 查 这 张 表 ,检查 教务 处 是 否 对 他 进行 了 授权 ,如 果 有 授权 ,计算 机 就 执 
行 其 操作 ; 若 没有 , 则 拒绝 执行 。 

在 自主 访问 控制 中 ,用 户 可 以 针对 被 保护 对 象 制定 自己 的 保护 策略 。 因 此 自主 访问 控 
制 是 一 种 比较 宽松 的 访问 控制 ,可 以 非常 灵活 地 对 策略 进行 调整 。 由 于 拥有 易 用 人 性 与 可 扩 
展 性 ,自主 访问 控制 机 制 经 常 被 用 于 商业 系统 。 比 如 在 很 多 操作 系统 和 数据 库 系统 中 通常 
都 采用 自主 访问 控制 ,来 规定 访问 资源 的 用 户 或 应 用 的 权限 。 虽 然 自 主 访问 控制 是 保护 计 
算 机 系统 资源 不 被 非法 访问 的 一 种 有 效 手段 ,但 它 有 一 个 明显 的 缺点 : 这 种 控制 是 自主 的 ， 
虽然 这 种 自主 性 为 用 户 提供 了 很 大 的 灵活 性 ,但 同时 也 带 来 了 严重 的 安全 问题 。 假 设 主体 
A 将 某 个 访问 权限 授予 了 B, 没 有 授予 C, 但 是 由 于 自主 访问 控制 策略 本 身 没有 对 已 经 具有 
权限 的 用 户 如 何 使 用 和 传播 权限 强加 任何 限制 ,因而 C 可 能 从 B 那里 得 到 该 访问 权限 ,这 
使 得 本 来 不 具 访 问 权 限 的 C 也 能 进行 访问 了 。 由 此 看 出 ,这 种 权限 的 传递 可 能 会 给 系统 带 
来 安全 隐患 。 比 如 ,在 一 个 交互 系统 中 ,用 户 首先 登录 ,然后 启动 某 个 进程 为 该 用 户 做 某 项 
工作 ,这 个 进程 就 继承 了 该 用 户 的 属性 ,包括 访问 权限 ,而 这 种 访问 权限 也 可 能 是 它 本 身 不 
应 具有 的 访问 权限 ,这 样 就 可 能 破坏 系统 的 安全 性 。 因 此 从 系统 的 整体 利益 出 发 ,必须 采取 
更 强 有 力 的 访问 控制 手段 ,这 就 是 强制 访问 控制 。 


6.4 强制 访问 控制 


所 谓 强制 访问 控制 (Mandatory Access Control, MAC) 是 指 计算 机 系统 根据 使 用 系统 
的 机 构 事先 确定 的 安全 策略 ,对 用 户 的 访问 权限 进行 强制 性 的 控制 。 

强制 访问 控制 用 来 保护 系统 确定 的 对 象 ,对 此 对 象 用 户 不 能 进行 更 改 。 也 就 是 说 ,系统 
独立 于 用 户 行为 强制 执行 访问 控制 ,用 户 不 能 改变 他 们 的 安全 级 别 或 对 象 的 安全 属性 。 这 
样 的 访问 控制 规则 通常 对 数据 和 用 户 按 照 安 全 等 级 划分 标签 ,访问 控制 机 制 通过 比较 安全 
标签 来 确定 授予 还 是 拒绝 用 户 对 资源 的 访问 。 强 制 访问 控制 进行 了 很 强 的 等 级 划分 ,所 以 
经 常用 于 军事 用 途 。 

例如 美国 国防 部 提出 的 多 级 安全 策略 ,是 军事 安全 策略 的 一 种 数学 描述 ,以 计算 机 能 实 
现 的 形式 定义 , 它 就 是 一 种 强制 访问 控制 。 下 面 简要 地 介绍 一 下 这 种 强制 访问 控制 方法 ( 示 
例如 图 6.6 所 示 ) 。 


周 读 取 文件 谈 取 文件 此 
拒绝 元 许 


文件 : 导弹 计划 用 户 : Kevin 文件 :电话 德 
安全 级 别 : 高 密 安全 级 别 : 机 密 安全 级 别 : 秘密 


图 6.6 强制 访问 控制 示例 
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计算 机 系统 对 系统 中 每 一 个 主体 (用 户 或 代表 用 户 的 进程 ) 分 配 一 个 安全 等 级 (或 称 安 
全 属性 ) ,主体 的 安全 等 级 标志 着 用 户 不 会 将 信息 透露 给 未 经 授权 的 用 户 ; 对 用 户 访问 的 对 
象 (也 称 客体 ) ,如 数据 、 存 储 器 段 .目录 和 网 络 结 点 等 ,也 分 配 一 个 安全 等 级 ,给 予 客体 的 安 
全 等 级 能 反映 出 客体 本 身 的 敏感 程度 。 当 主体 对 某 客体 进行 访问 时 ,系统 要 对 这 个 主体 和 
客体 的 安全 等 级 进行 比较 ,来 决定 用 户 能 否 访问 该 客体 。 主 、 客 体 的 安全 等 级 由 两 部 分 组 
成 : 密级 和 部 门 属性 。 其 访问 规则 可 简单 地 描述 为 “向 下 读 , 向 上 写 ”。 即 : 

(1) 仅 当 主体 的 安全 等 级 大 于 等 于 客体 的 安全 等 级 时 ,主体 可 读 访 问 客体 。 

(2) 仅 当 主体 的 安全 等 级 小 于 等 于 客体 的 安全 等 级 时 ,主体 可 写 访 问 客体 。 

也 就 是 说 ,主体 安全 级 别 必须 高 于 被 读 取 对 象 的 级 别 ,同时 主体 安全 级 别 必须 低 于 被 写 
入 对 象 的 级 别 。 这 个 策略 的 安全 原则 是 信息 只 能 由 低 安全 等 级 流向 高 安全 等 级 ,而 不 能 由 
高 安全 等 级 流向 低 安全 等 级 。 这 一 安全 策略 特别 适合 于 军事 部 门 和 政府 办 公 部 门 。 

强制 访问 控制 在 自主 访问 控制 的 基础 上 ,增加 了 对 网 络 资源 的 属性 划分 ,规定 不 同属 性 
下 的 访问 权限 。 一 般 安全 属性 可 分 为 4 个 级 别 : 最 高 秘密 级 (Top Secret)、 机 密级 
(Secret) ,秘密 级 (Confidential) 以 及 无 级 别 级 (Unclassified) 。 其 级 别 顺序 为 T 二 S 二 CU， 
规定 如 下 4 种 强制 访问 控制 策略 。 

。 下 读 : 用 户 级 别 大 于 文件 级 别 的 读 操 作 。 

。 上 写 : 用 户 级 别 低 于 文件 级 别 的 写 操作 。 

。 下 写 : 用 户 级 别 大 于 文件 级 别 的 写 操作 。 

。 上 读 : 用 户 级 别 低 于 文件 级 别 的 读 操作 。 

这 些 策略 保证 了 信息 流 的 单 向 性 ,上 读 -下 写 方式 保证 了 数据 的 完整 性 ,上 写 - 下 读 方式 
则 保证 了 信息 的 安全 性 。 下 面 举 一 实 例 来 具体 说 明 。 

例如 , 某 单位 部 分 行政 机 构 如 图 6.7 所 示 。 


校长 
人 教 财 设 
事 务 务 备 
处 处 处 处 
职 退 档 教 教 财 财 进 实 设 
工 休 案 学 学 务 务 出 验 备 
科 科 科 行 研 = - 日 室 科 
政 究 科 科 科 管 
科 科 理 
| | | 
光 a 
作 作 
人 人 人 
员 员 


图 6.7 某 单位 部 分 行政 机 构 示意 图 


假设 计算 机 系统 中 的 数据 的 密级 分 为 一 般 \ 秘 密 、 机 密 和 绝密 4 个 级 别 , 人 为 地 规定 : 
一 般 二 秘密 二 机 密 二 绝密 
对 用 户 的 密级 规定 为 ,校长 可 以 看 所 有 的 数据 ,处 长 只 能 看 机 密 及 以 下 的 数据 , 科 长 只 
能 看 秘密 及 以 下 的 数据 ,一 般 工作 人 员 只 能 看 一 般 的 数据 。 
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现 定义 校长 的 安全 等 级 : 密级 为 绝密 ,部 门 属性 为 所 有 的 部 门 。 

即 Cg& 二 (绝密 , {人 事 处 ,教务 处 ,财务 处 ,设备 处 }) 

教务 处 长 的 安全 等 级 Cg 二 (机密, {教务 处 )) 

财务 处 长 的 安全 等 级 Cy 二 (机密, {财务 处 }) 

财务 一 科 长 的 安全 等 级 C_w = 二 (秘密 , {财务 处 }) 

财务 处 工作 人 员 的 安全 等 级 Cr 二 (一 般 ,{ 财 务 处 )) 

假设 财务 一 科 长 创建 了 一 份 工作 文件 A, 文 件 A 的 安全 等 级 定义 为 与 一 科 长 的 安全 等 
级 相同 , 即 CA 二 (秘密 ,{ 财 务 处 ))。 

那么 ,对 于 文件 A, 只 有 校长 和 财务 处 长 能 看 到 ,而 教务 处 长 不 能 看 ,尽管 教务 处 长 的 密 
级 是 机 密级 ,可 以 看 秘密 级 的 文件 ,但 教务 处 长 的 部 门 属性 仅 是 {教务 处 } ,他 无 权 看 财务 处 
的 信息 。 

再 比如 ,Web 服务 以 “秘密 ”的 安全 级 别 运 行 。 假 如 Web 服务 器 被 攻击 ,攻击 者 在 目标 
系统 中 以 “秘密 ”的 安全 级 别 进行 操作 ,他 将 不 能 访问 系统 中 安全 等 级 为 “机 密 ” 及 “高 密 ” 的 
数据 。 

强制 访问 控制 技术 引入 了 安全 管理 员 机 制 , 增 加 了 安全 保护 层 , 可 防止 用 户 无 意 或 有 意 
地 使 用 自主 访问 的 权利 。 使 得 强制 访问 控制 的 安全 性 比 自主 访问 控制 的 安全 性 有 了 提高 ， 
但 灵活 性 却 要 差 一 些 。 例 如 , 某 些 高 安全 等 级 的 操作 系统 规定 了 强制 访问 控制 策略 ,通过 给 
系统 用 户 和 文件 分 配 安全 属性 ,强制 性 地 规定 该 属性 下 的 权限 、 低 安全 级 别 不 能 访问 高 安全 
级 别 的 信息 ,不同 组 别 间 的 信息 不 能 互 访 等 。 

强制 访问 控制 和 自主 访问 控制 有 时 会 结合 使 用 。 在 一 个 既 具 有 自主 访问 控制 ,又 具有 
强制 访问 控制 的 计算 机 系统 中 , 当 一 个 主体 要 访问 某 个 客体 时 ,他 必须 既 要 通过 自主 访问 控 
制 的 检查 ,又 要 通过 强制 访问 控制 的 检查 ,只 有 这 两 道 检 查 都 通过 了 ,他 才能 对 这 个 客体 进 
行 访问 。 例 如 ,系统 可 能 首先 执行 强制 访问 控制 来 检查 用 户 是 否 有 权限 访问 一 个 文件 组 (这 
种 保护 是 强制 的 ,也 就 是 说 : 这 些 策略 不 能 被 用 户 更 改 ) ,然后 再 针对 该 组 中 的 各 个 文件 制 
定 相关 的 访问 控制 列表 (自主 访问 控制 策略 ) 。 


6.5 基于 角色 的 访问 控制 


在 强制 访问 控制 和 自主 访问 控制 这 两 种 传统 的 访问 控制 方法 中 ,都 是 由 主体 和 访问 权 
限 直接 发 生 关系 ,主要 针对 用 户 个 人 授予 权限 ,主体 始终 是 和 特定 的 实体 捆 绑 对 应 的 。 例 
如 ,用 户 以 用 户 名 注册 ,系统 分 配 一 定 的 权限 ,该 用 户 将 始终 以 该 用 户 名 访问 系统 ,直至 销 
户 。 但 在 现实 社会 中 ,这 种 访问 控制 方式 可 能 会 出 现 一 些 问 题 : 在 用 户 注册 到 销 户 这 期 间 ， 
在 用 户 的 权限 需要 变更 时 ,必须 在 系统 管理 员 的 授权 下 才能 进行 ,因此 很 不 方便 ; 大 型 应 用 
系统 的 访问 用 户 往往 种 类 繁多 .数量 巨大 并 且 动 态 变化 , 当 用 户 量 大 量 增加 时 , 按 每 个 用 户 
分 配 一 个 注册 账号 的 方式 将 使 得 系统 管理 变 得 复杂 ,工作 量 急剧 增加 , 且 容 易 出 错 ; 另外 ， 
也 很 难 实现 系统 的 层次 化 分 权 管理 ,尤其 是 当 同 一 用 户 在 不 同 场合 处 在 不 同 的 权限 层次 时 ， 
系统 管理 则 很 难 实现 (除非 同一 用 户 以 多 个 用 户 名 注册 )。 

而 在 实际 工作 中 ,不 同 的 用 户 可 能 具有 相同 的 权限 ,如 人 事 处 档案 科 的 工作 人 员 可 以 阅 
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读 处 理 档案 的 权限 是 相同 的 ,但 其 他 的 人 若 不 获得 特别 的 批准 ,是 不 允许 接近 这 些 档案 的 。 

为 了 反映 实际 工作 中 的 这 种 需要 ,克服 传统 的 访问 控制 方法 出 现 的 问题 ,进一步 提高 管 
理 效率 ,基于 角色 的 访问 控制 (Role Based Access Control,RBAC ) 方 法 应 运 而 生 。 它 的 基 
本 思想 是 在 用 户 和 访问 权限 之 间 引 入 角色 的 概念 ,将 用 户 和 角色 联系 起 来 ,通过 对 角色 的 授 
权 来 控制 用 户 对 系统 资源 的 访问 。 这 种 方法 可 根据 用 户 的 工作 职责 设置 若干 角色 ,不 同 的 
用 户 可 以 具有 相同 的 角色 ,在 系统 中 享有 相同 的 权力 ,同一 个 用 户 又 可 以 同时 具有 多 个 不 同 
的 角色 ,在 系统 中 行使 多 个 角色 的 权力 。 例 如 , 某 医院 有 许多 外 科 医 生 和 内 科 医 生 , 外 科 医 
生 与 内 科 医 生 的 处 方 权 限 有 些 是 不 相同 的 ,但 所 有 内 科 医 生 的 权限 都 是 相同 的 ,所 有 外 科 医 
生 的 权限 也 都 是 相同 的 ,因此 ,我 们 可 以 在 医疗 系统 中 设置 内 科 医 生 角 色 和 外 科 医 生 角 色 。 
当 工 作 职责 变动 时 ,可 按 新 的 角色 进行 重新 授权 。 

在 RBAC 的 描述 中 ,涉及 用 户 .角色 .许可 会话、 活跃 角色 组 等 基本 概念 ,下 面 分 别 进 
行 介绍 。 

在 RBAC 中 ,许可 (Privilege, 也 叫 权限 ) 就 是 允许 对 一 个 或 多 个 客体 执行 操作 。 角 色 
(Role) 就 是 许可 的 集合 。RBAC 的 基本 思想 是 : 授权 给 用 户 (User) 的 访问 权限 通常 由 用 户 
在 一 个 组 织 中 担当 的 角色 来 确定 。RBAC 与 访问 控制 列表 (ACL) 不 同 ,访问 控制 列表 直接 
将 主体 和 受 控 客体 相 联系 ,而 RBAC 在 中 间 加 入 了 角色 ,通过 角色 沟通 主体 与 客体 。 在 
RBAC 中 ,许可 被 授权 给 角色 ,角色 被 授权 给 用 户 ,用 户 不 直接 与 许可 关联 。 这 种 分 层 的 优 
点 是 当主 体 发 生变 化 时 ,只 需 修 改 主体 与 角色 之 间 的 关联 而 不 必修 改 角色 与 客体 的 关联 。 

RBAC 对 访问 权限 的 授权 由 管理 员 统一 管理 ,而 且 授 权 规 定 是 强加 给 用 户 的 ,这 是 一 种 
非 自主 型 集中 式 访问 控制 方式 。 

用 户 是 一 个 静态 的 概念 ,会 话 (Session) 则 是 一 个 动态 的 概念 。Session 在 RBAC 中 是 
比较 隐 星 的 一 个 元 素 ,一 次 会 话 是 用 户 的 一 个 活跃 进程 , 它 代表 用 户 与 系统 的 交互 。 从 标准 
上 说 ,每 个 Session 是 一 个 映射 ,一 个 用 户 到 多 个 Role 的 映射 。 当 一 个 用 户 激活 他 所 有 角色 
的 一 个 子 集 的 时 候 , 建 立 一 个 Session。 每 个 Session 和 单个 的 User 关联 ,并 且 每 个 User 可 
以 关联 到 一 个 或 多 个 Session。 用 户 与 会 话 是 一 对 多 的 关系 ,一 个 用 户 可 同时 打开 多 个 会 
话 。 一 个 会 话 构 成 一 个 用 户 到 多 个 角色 的 映射 , 即 会 话 激活 了 用 户 授权 角色 集 的 某 个 子 集 ， 
这 个 子 集 称 为 活跃 角色 集 。 活 跃 角 色 集 决定 了 本 次 会 话 的 许可 集 。 

实际 上 ,RBAC 认为 权限 授权 是 Who、What、How 的 问题 。 在 RBAC 方法 中 ,Who、 
What How 构成 了 访问 权限 三 元 组 ,也 就 是 "Who 对 What(Which) 进 行 How 的 操作 ”。 
Who: 权限 的 拥有 者 或 主体 (如 Principal、User、Group、Role、Actor 等 ) 。 

What: 权限 针对 的 对 象 或 资源 (Resource、Class)。 

How: 具体 的 权限 (Privilege, 正 向 授权 与 负 向 授权 ) 。 

Operator: 操作 。 表 明 对 What 的 How 操作 。 也 就 是 Privilege 十 Resource。 

Role: 角色 。 一 定数 量 的 权限 的 集合 。 权 限 分 配 的 单位 与 载体 ,目的 是 隔离 User 
与 Privilege 的 逻辑 关系 。 

Group: 用 户 组 。 权 限 分 配 的 单位 与 载体 。 权 限 不 考虑 分 配给 特定 的 用 户 而 是 分 配 
给 组 。 组 可 以 包括 组 (以 实现 权限 的 继承 ) ,也 可 以 包含 用 户 , 组 内 用 户 继承 组 的 权 
限 。User 与 Group 是 多 对 多 的 关系 。Group 可 以 层次 化 ,以 满足 不 同 层级 权限 控 
制 的 要 求 。 
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基于 角色 的 访问 控制 (RBAC) 是 目前 国际 上 流行 的 先进 的 安全 访问 控制 方法 。 它 通过 
分 配 和 取消 角色 来 完成 用 户 权 限 的 授予 和 取消 ,并 且 提供 角色 分 配 规则 。 角 色 访 问 控制 与 
访问 者 的 身份 认证 密切 相关 ,通过 确定 该 合法 访问 者 的 身份 来 确定 访问 者 在 系统 中 对 哪 类 
信息 有 什么 样 的 访问 权限 。 一 个 访问 者 可 以 充当 多 个 角色 ,一 个 角色 也 可 以 由 多 个 访问 者 
担任 。 没 有 严格 的 等 级 概念 ,根据 用 户 在 系统 中 承担 的 职务 或 工作 的 职责 ,分 配 权限 、 进 行 
控制 。 安 全 管理 人 员 可 以 根据 需要 定义 各 种 角色 ,并 设置 合适 的 访问 权限 ,而 用 户 根据 其 责 
任 和 资历 再 被 指派 为 不 同 的 角色 。 这 样 ,整个 访问 控制 过 程 就 分 成 两 个 部 分 , 即 访问 权限 与 


角色 相关 联 , 角 色 再 与 用 户 关联 ,从 而 实现 用 页 
户 与 访问 权限 的 逻辑 分 离 。 基 于 角色 的 访问 - 
控制 的 一 般 模 型 如 图 6. 8 所 示 。 5. 访 问 请 求 

从 图 6. 8 可 以 看 出 , RBAC 的 关注 点 在 i 3 请求 
于 角色 与 用 户 及 权限 之 间 的 关系 。 关 系 的 左 | 用 户 玉 二 角色 于 i | 权限 
右 两 边 都 是 Many-to-Many 关系 ,就 是 User 
可 以 有 多 个 Role,Role 可 以 包括 多 个 User。 58 BRBAC 模 型 


在 RBAC 系统 中 ,User 实际 上 是 在 扮演 角色 (Role) ,可 以 用 Actor 来 取代 User。 考 虑 
到 多 人 可 以 有 相同 权限 ,RBAC 引入 了 Group 的 概念 。Group 同样 也 被 看 作 是 Actor。 而 
User 的 概念 就 具体 到 一 个 人 。Group 和 User 都 和 组 织 机 构 有 关 , 但 不 是 组 织 机 构 。 两 者 
在 概念 上 是 不 同 的 。 组 织 机 构 是 物理 存在 的 公司 结构 的 抽象 模型 ,包括 部 门 、 人 、 职 位 等 ,而 
权限 模型 是 对 抽象 概念 描述 。 引 入 Group 这 个 概念 ,除了 用 来 解决 多 人 相同 角色 问题 外 ， 
还 用 以 解决 组 织 机 构 的 另 一 种 授权 问题 。 例 如 ,我 希望 所 有 的 A 部 门 的 人 都 能 看 A 部 门 的 
新 闻 。 有 了 这 样 一 个 A 部 门 对 应 的 Group ,就 可 直接 授权 给 这 个 Group 。 

Role 作为 一 个 用 户 (User) 与 权限 (Privilege) 的 代理 层 , 解 耦 了 权限 和 用 户 的 关系 ,所 
有 的 授权 应 该 给 予 Role 而 不 是 直接 给 User 或 Group。Privilege 是 权限 ,由 Operation 和 
Resource 组 成 ,表示 对 Resource 的 一 个 Operation。 例 如 ,对 于 新 闻 的 删除 操作 。Role- 
Privilege 是 Many-to-Many 的 关系 ,这 就 是 权限 的 核心 。 

在 RBAC 模型 系统 中 ,每 个 用 户 进入 系统 时 都 会 得 到 一 个 会 话 ,一 个 用 户 会 话 可 能 激 
活 的 角色 是 该 用 户 的 全 部 角色 的 子 集 。 对 此 用 户 而 言 , 在 一 个 会 话 内 可 获得 全 部 被 激活 的 
角色 所 包含 的 访问 权限 。 

不 像 ACL 只 支持 低级 的 用 户 / 许 可 关系 ,RBAC 支持 角色 /许可 ,角色 /角色 的 关系 ,由 
于 RBAC 的 访问 控制 是 在 更 高 的 抽象 级 别 上 进行 的 ,系统 管理 员 可 以 通过 角色 定义 、 角 色 
分 配 、 角 色 设 置 、 角 色 分 层 、 角 色 限 制 来 实现 组 织 的 安全 策略 。 

首先 ,系统 管理 员 定 义 系 统 中 的 各 种 角色 ,每 种 角色 可 以 完成 一 定 的 职能 ,不 同 的 用 户 
根据 其 职能 和 责任 被 赋予 相应 的 角色 ,一 旦 某 个 用 户 成 为 某 角 色 的 成 员 , 则 此 用 户 可 以 完成 
该 角色 所 具有 的 职能 。 也 就 是 说 ,管理 员 无 须知 道 某 一 员工 叫 什么 名 字 ,而 是 根据 员工 在 单 
位 的 角色 和 身份 来 定义 。 比 如 做 市 场 的 员工 ,就 只 能 拥有 市 场 部 员工 的 权限 ; 做 销售 的 ,就 
只 能 访问 销售 人 员 才 能 看 到 的 内 容 。 另 外 ,根据 组 织 的 安全 策略 ,将 特定 的 岗位 定义 为 特定 
的 角色 ,将 特定 的 角色 授权 给 特定 的 用 户 。 例 如 可 以 定义 某 些 角 色 接 近 DAC, 某 些 角色 接 
近 MAC。 系 统管 理 员 也 可 以 根据 需要 设置 角色 的 可 用 性 以 适应 某 一 阶段 企业 的 安全 策 
略 , 例 如 设置 所 有 角色 在 所 有 时 间 内 可 用 ,特定 角色 在 特定 时 间 内 可 用 ,用 户 授权 角色 的 子 
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集 在 特定 时 间 内 可 用 等 。 当 系统 中 增加 新 的 应 用 功能 时 可 以 在 角色 中 添加 新 的 权限 。 此 
外 ,可 撤销 用 户 的 角色 或 从 角色 中 撤销 一 些 原 有 的 权限 。 

组 织 结构 中 通常 存在 一 种 上 、 下 级 关系 ,上 一 级 拥有 下 一 级 的 全 部 权限 。 为 此 ,RBAC 
引入 了 角色 分 层 的 概念 。 角 色 分 层 把 角色 组 织 起 来 ,能 够 很 自然 地 反映 组 织 内 部 人 员 之 间 
的 职权 责任 关 系 。 角 色 之 间 也 可 存在 继承 关系 ,层次 之 间 存 在 高 对 低 的 继承 关系 , 即 上 级 
角色 可 继承 下 级 角色 的 部 分 或 全 部 权限 ,从 而 形成 了 角色 层次 结构 。 

下 面 通过 一 个 具体 实例 来 说 明基 于 角色 的 访问 控制 策略 。 

例如 在 一 个 学 校 管理 系统 中 ,可 以 定义 校长 . 院 长 .系统 管理 员 ,学 生 ,老师 .处 长 .会 计 、 
出 纳 员 等 角色 。 其 中 ,担任 系统 管理 员 的 用 户 具 有 维护 系统 文件 的 责任 和 权限 ,而 不 管 这 个 
用 户 具体 是 谁 。 系 统管 理 员 也 可 能 是 由 某 个 老师 兼任 ,这 样 他 就 具有 两 种 角色 。 但 是 出 于 
责任 分 离 ,需要 对 一 些 权利 集中 的 角色 组 合 进行 限制 ,比如 规定 会 计 和 出 纳 员 不 能 由 同一 个 
用 户 担任 。 可 以 根据 实际 需要 进一步 设计 如 下 的 访问 策略 。 

(1) 允许 系统 管理 员 查 询 系 统 信 息 和 开关 系统 ,但 不 允许 读 或 修改 学 生 的 信息 。 

(2) 允许 一 个 学 生 查 询 自己 的 信息 ,但 不 能 查询 其 他 任何 信息 或 修改 任何 信息 。 

(3) 允许 老师 查询 所 有 学 生 的 信息 ,但 只 能 在 规定 的 时 间 和 范围 内 修改 学 生 信息 。 

角色 控制 既 可 以 在 自主 访问 控制 中 运用 ,也 可 以 在 强制 访问 控制 中 运用 。 

另外 ,基于 角色 的 访问 控制 方法 具有 以 下 显著 的 特点 。 

(1) 由 于 基于 角色 的 访问 控制 不 需要 对 用 户 一 个 一 个 地 进行 授权 ,而 是 通过 对 某 个 角 
色 授 权 , 来 实现 对 一 组 用 户 的 授权 ,因此 简化 了 系统 的 授权 机 制 。 一 旦 员工 的 角色 发 生变 
化 ,管理 人 员 只 需要 调整 员工 的 角色 ,对 该 员工 的 授权 就 可 以 相应 地 发 生变 化 ,而 无 须 一 个 
系统 一 个 模块 地 去 调整 了 。 由 于 角色 /权限 之 间 的 变化 比 角色 /用 户 关系 之 间 的 变化 相对 
要 慢 得 多 ,因此 ,基于 角色 的 管理 在 使 用 上 是 非常 方便 的 , 减 小 了 授权 管理 的 复杂 性 ,降低 了 
管理 开销 。 

(2) 基于 角色 的 访问 控制 可 以 很 好 地 描述 角色 层次 关系 ,能 够 很 自然 地 反映 组 织 内 部 
人 员 之 间 的 职权 、 责 任 关系 。 并 且 给 用 户 分 配角 色 不 需要 很 多 技术 ,可 以 由 行政 管理 人 员 来 
执行 ,而 给 角色 配置 权限 的 工作 比较 复杂 ,需要 一 定 的 技术 能 力 , 可 以 由 专门 的 技术 人 员 来 
承担 ,但 是 不 让 他 们 具有 给 用 户 分 配角 色 的 权限 ,这 与 现实 中 的 情况 正好 一 致 。 

(3) 利用 基于 角色 的 访问 控制 可 以 实现 最 小 特权 原则 。 在 访问 控制 中 应 遵循 的 一 条 很 
重要 的 安全 原则 是 “最 小 特权 原则 ”或 称 为 “ 知 所 必需 ”, 也 就 是 说 对 于 任何 一 个 主体 来 说 ,他 
只 应 该 具有 为 完成 他 的 工作 职责 需要 的 最 小 的 权力 。 最 小 特权 原则 对 于 满足 完整 性 目标 是 
非常 重要 的 ,这 一 原则 的 应 用 还 可 限制 事故 、 错 误 、 未 授权 使 用 带 来 的 损害 。 最 小 特权 原则 
要 求 用 户 只 具有 执行 一 项 工作 所 必需 的 权限 ,他 所 拥有 的 权力 不 能 超过 他 执行 工作 时 所 需 
的 权限 。 要 保证 最 小 特权 就 要 求 验证 用 户 的 工作 内 容 是 什么 ,要 确定 执行 该 项 工作 所 要 求 
的 权限 最 小 集合 ,并 限制 用 户 的 权限 域 。 系 统管 理 员 可 以 根据 组 织 内 的 规章 制度 .职员 的 分 
工 等 设计 拥有 不 同 权限 的 角色 ,只 有 角色 需要 执行 的 操作 才 授 权 给 角色 , 当 一 个 主体 要 访问 
某 资源 时 ,如 果 该 操作 不 在 主体 当前 活跃 角色 的 授权 操作 之 内 ,该 访问 将 被 拒绝 。 若 拒绝 了 
不 是 主体 职责 的 事务 , 则 那些 被 拒绝 的 权限 就 不 能 绕 过 阻止 安全 性 策略 。 通 过 使 用 RBAC， 
很 容易 满足 一 般 系统 的 用 户 执 行 最 小 权限 的 需求 。 
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(4) RBAC 机 制 可 被 系统 管理 员 用 于 执行 职责 分 离 的 策略 。 职 责 分 离 是 指 有 些许 可 不 
能 同时 被 同一 用 户 获 得 ,以 避免 出 现 安 全 上 的 漏洞 。 例 如 收 款 员 、 出 纳 员 、 审 计 员 应 由 不 同 
的 用 户 担 任 。 在 RBAC 中 ,职责 分 离 可 以 有 静态 和 动态 两 种 实现 方式 。 静 态 职责 分 离 只 有 
当 一 个 角色 与 用 户 所 属 的 其 他 角色 彼此 不 互 斥 时 ,这 个 角色 才能 授权 给 该 用 户 。 动 态 职责 
分 离 只 有 当 一 个 角色 与 一 个 主体 的 任何 一 个 当前 活跃 角色 都 不 互 斥 时 该 角色 才能 成 为 
该 主体 的 另 一 个 活跃 角色 。 角 色 的 职责 分 离 也 称 为 角色 互 斥 , 是 角色 限制 的 一 种 。 职 责 
分 离 是 保障 安全 的 一 个 基本 原则 ,对 于 反 欺 诈 行为 是 非常 有 效 的 , 它 是 在 真实 系统 中 最 
重要 的 想法 。 

(5) 基于 角色 的 访问 控制 可 以 灵活 地 支持 企业 的 安全 策略 ,并 对 企业 的 变化 有 很 大 的 
可 适应 性 。 由 于 多 级 安全 访问 控制 是 严格 地 根据 安全 级 的 比较 来 控制 主体 对 信息 的 访问 权 
的 ,不 能 完全 反映 现实 工作 中 的 模式 ,因为 信息 有 时 需要 从 高 向 低 流动 或 横向 流动 。 所 以 利 
用 对 “角色 ”授权 的 方式 可 以 使 强制 访问 控制 实现 起 来 较为 灵活 。 

总 之 ,RBAC 作为 传统 访问 机 制 的 理想 候选 ,近年 来 得 到 了 广泛 研究 ,并 以 其 灵活 性 、 方 
便 性 和 安全 性 在 许多 系统 尤其 是 大 型 数据 库 系 统 的 权限 管理 中 得 到 应 用 。 今 后 ,由 于 大 规 
模 网 络 和 分 布 式 环境 的 广泛 应 用 ,网 络 和 分 布 式 系统 中 的 访问 控制 技术 将 成 为 未 来 的 研究 
热点 。 另 外 ,组 织 和 系统 结构 的 复杂 化 要 求 拥有 动态 灵活 的 安全 策略 。 因 此 研究 和 发 展 基 
于 角色 的 访问 控制 技术 将 具有 非常 广阔 的 前 景 。 


6.6 关键 术语 


身份 认证 (Identity Authentication) 

主体 (Subject) 

客体 (Object) 

访问 控制 (Access Control) 

自主 访问 控制 (Discretionary Access Control) 

强制 访问 控制 (Mandatory Access Control) 

基于 角色 的 访问 控制 (Role Based Access Control) 

开放 式 身 份 (Open Identity) 

开放 式 授权 (Open Authorization) 

非 集中 身份 互 用 系统 (Yet Another Decentralized Identity Interoperability Systemy) 


6.7 习 题 6 


6.1 简 述 身份 认证 的 基本 概念 。 
6.2 简 述 使 用 密码 进行 身份 认证 的 优 缺 点 。 
6.3 简 述 OpenID 和 OAuth 认证 协议 的 功能 与 区 别 。 
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中 
oT 小 


简 述 访问 控制 的 基本 概念 。 

有 哪 几 种 访问 控制 策略 ? 

什么 是 强制 访问 控制 MAC 策略 ? 它 的 适用 场合 是 什么 ? 
什么 是 自主 访问 控制 DAC 策略 ? 它 的 安全 性 怎么 样 ? 
为 什么 MAC 能 阻止 特洛伊 木马 ? 

简 述 什么 是 基于 角色 的 访问 控制 RBAC。 


第 7 童 网 络 安全 协议 


本 章 导 读 

> 本 章 主要 介绍 几 种 常见 的 网 络 安全 协议 ,如 Kerberos、SSL,、IPSec、PGP 等 。 

> Kerberos 是 一 种 基于 可 信赖 的 第 三 方 的 认证 系统 。Kerberos 提供 了 一 种 在 开放 式 
网 络 环境 下 进行 身份 认证 的 方法 , 它 使 网 络 上 的 用 户 可 以 相互 证 明 自 己 的 身份 。 

> SSL( 安 全 套 接 字 层 ) 协 议 是 一 种 基于 Web 应 用 的 安全 协议 ,主要 目的 是 在 两 个 通信 
应 用 程序 之 间 提 供 私密 性 和 可 靠 性 ,使 应 用 程序 在 通信 时 不 用 担心 被 窃听 和 自 改 。 
这 个 过 程 主要 通过 3 个 元 素来 完成 : SSL 握手 协议 .SSL 记录 协议 .SSL 告警 协议 。 

> IPSec 协议 在 网 络 层 上 实施 安全 保护 ,这 使 得 所 有 使 用 IP 协议 进行 数据 传输 的 应 用 
系统 和 服务 都 可 以 使 用 IPSec, 而 不 必 对 这 些 应 用 系统 和 服务 本 身 做 任何 修改 。 
IPSec 采用 端 -对 - 端 加 密 模 式 , 其 基本 工作 原理 是 : 发 送 方 在 数据 传输 前 ( 即 到 达 网 
线 之 前 ) 对 数据 实施 加 密 ,在 整个 传输 过 程 中 , 报 文 都 是 以 密 文 方式 传输 ,直到 数据 
到 达 目 的 结 点 , 才 由 接收 端 对 其 进行 解密 。IPSec 协议 组 包括 网 络 认 证 协议 (AH)、 
封装 安全 载荷 协议 (ESP)、 密 钥 管 理 协议 (IKE) .用 于 网 络 认证 及 加 密 的 一 些 算 

> PGP 主要 用 于 安全 电子 邮件 。PGP 提供 5 个 方面 的 功能 : 鉴别 .保密 性 压缩 、 
E-mail 兼容 性 和 分 段 功能 。 


TCP/IP 是 一 个 开放 协议 , 随 着 Internet 的 快速 发 展 , 越 来 越 多 的 人 开始 使 用 TCP/IP 
协议 ,这 使 得 它 的 各 种 安全 脆弱 性 也 逐步 体现 出 来 ,整个 网 络 面临 着 诸如 窃听 ` 数 据 簧 改 、 身 
份 欺骗 .盗用 密码 .中间 人 攻击 .拒绝 服务 攻击 等 多 种 安全 威胁 。 针 对 这 些 安全 问题 ,目前 不 
可 能 设计 一 种 全 新 的 网 络 协议 来 取代 TCP/IP, 因 此 可 行 的 解决 方法 是 在 TCP/IP 参考 模 
型 的 各 层 增加 一 些 安全 协议 来 保证 安全 。 

在 网 络 通信 中 最 常用 的 、 基 本 的 安全 协议 按照 其 完成 的 功能 可 以 分 成 以 下 三 类 。 

。 密 钥 交换 协议 : 一 般 情况 下 是 在 参与 协议 的 两 个 或 者 多 个 实体 之 间 建 立 共 享 的 秘 

密 ,通常 用 于 建立 在 一 次 通信 中 所 使 用 的 会 话 密 钥 。 协 议 可 以 采用 对 称 密码 体制 ， 
也 可 以 采用 非 对 称 密码 体制 ,例如 Diffie-Hellman 密 钥 交换 协议 。 

。 认证 协议 : 认证 协议 中 包括 实体 认证 (身份 认证 ) 协 议 、 消 息 认 证 协议 .数据 源 认证 
和 数据 目的 认证 协议 等 ,用 来 防止 假冒 . 算 改 、 和 否认 等 攻击 。 

。 认证 和 密 钥 交换 协议 : 这 类 协议 将 认证 和 密 钥 交 换 协 议 结合 在 一 起 ,是 网 络 通信 中 
最 普遍 应 用 的 安全 协议 。 该 类 协议 首先 对 通信 实体 的 身份 进行 认证 ,如 果 认 证 成 
功 , 则 进一步 进行 密 钥 交 换 , 以 建立 通信 中 的 工作 密 钥 ,也 叫 密 钥 确 认 协 议 。 例 如 
Needham-Schroeder 协议 、 分 布 认证 安全 服务 (DASS) 协 议 ITU-T X. 509 认证 协议 等 。 


当前 主要 的 一 些 安全 协议 大 多 都 分 布 在 TCP/IP 参考 模型 的 最 高 三 层 , 即 应 用 层 、 传 输 
层 和 网 络 层 ,常见 的 协议 如 下 所 示 。 
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。 网 络 层 的 安全 协议 : IPSec。 

。 传输 层 的 安全 协议 : SSL/TLS。 

。 应 用 层 的 安全 协议 : SHTTP(Web 安全 协议 )、.PGP( 电 子 邮 件 安全 协议 )、S/MIME 
(电子 邮件 安全 协议 )、.MOSS( 电 子 邮件 安全 协议 )、PEM( 电 子 邮件 安全 协议 )、SSH 
(远程 登录 安全 协议 ) 和 Kerberos( 网 络 认 证 协议 ) 等 。 


本 章 将 重点 介绍 Kerberos、IPSec、SSL 、PGP 等 几 种 主流 的 网 络 安全 协议 。 


7.1 简单 的 安全 认证 协议 


安全 协议 通常 描述 为 通信 的 对 象 ( 称 为 主体 ) 之 间 的 消息 传递 的 序列 。 其 中 ,每 一 个 消 
息 传递 都 形 如 A 一 B: M。 

它 表 示 主 体 A 向 主体 B 传递 消息 M。 需 要 注意 的 是 ,协议 描述 的 是 主体 通信 的 模式 ， 
而 并 不 是 具体 几 个 主体 通信 的 过 程 。 在 协议 的 实际 运行 中 ,一 个 主体 可 以 在 协议 的 不 同 运 
行 状 态 下 担任 不 同 的 角色 。 消 息 的 复合 记 为 M、M: 。 而 消息 的 加 密 则 记 为 {M}K, 其 中 
为 加 密 密 钥 。 


7.1.1 Needham-Schroeder 认证 协议 


Needham-Schroeder 协议 是 最 为 著名 的 早期 的 认证 协议 ,许多 广泛 使 用 的 认证 协议 都 
是 以 Needham-Schroeder 协议 为 基础 而 设计 的 。Needham-Schroeder 协议 可 分 为 对 称 密码 
体制 和 非 对 称 密码 体制 下 的 两 种 版 本 ,分 别 简称 为 NSSK 协议 和 NSPK 协议 。 

Needham-Schroeder 协议 的 目的 是 使 得 通信 双方 能 够 互相 证 实 对 方 的 身份 并 且 为 后 续 
的 加 密 通信 建立 一 个 会 话 密 钥 (Session Key)。 协 议 涉及 3 个 主体 : A 和 B, 以 及 A 和 B 信 
赖 的 可 信 第 三 方 ,也 叫 认证 服务 器 (Authentication Server)S。 

下 面 是 Needham 和 Schroeder 于 1978 年 提出 的 基于 共享 密 钥 体系 的 协议 过 程 。 

(1) A—S: A,B,N,. 

C2) SAs {NasB, Kns {Kany A Ye: 

(3) A—>B: {Kas, A}rs. 

(4) B>A: {Na}go. 

(5) A>B: {Ns—1}r,. 


其 中 ,Kss 是 A 与 S 之 间 的 共享 密 钥 ,Kss 是 B 与 S 之 间 的 共享 密 钥 。Kas 是 认证 服务 
器 临时 生成 的 密 钥 ,用 于 A、B 双方 认证 之 后 的 加 密 
通信 , 称 为 会 话 密 钥 。NA 和 Ns 分 别 是 A 和 B 生 成 
的 随机 量 (Nonce)。 随 机 量 的 生成 是 不 可 预计 的 ,并 
且 在 协议 中 只 使 用 一 次 。 认 证 服务 器 S 拥有 每 个 用 
户 的 秘密 密 钥 , 若 用 户 A 欲 与 用 户 B 通 信 , 则 用 户 A 
应 向 认证 服务 器 申请 会 话 密 钥 。 在 会 话 密 钥 的 分 配 
过 程 中 ,双方 身份 得 以 鉴别 。Needham-Schroeder 协 
图 7.1 NeedhamrSchroeder 认证 过 程 ” 议 的 认证 过 程 如 图 7.1 所 示 。 
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Needham-Schroeder 认证 协议 使 用 了 多 次 挑战 /响应 协议 ,认证 过 程 可 描述 如 下 。 

第 1 步 ,A 向 认证 服务 器 S 发 送 一 条 明文 消息 。 该 消息 包含 A 与 B 的 标识 ,以 及 A 生 
成 的 一 个 随机 量 NA 。 

第 2 步 ,认证 服务 器 S 返 回 给 A 一 条 用 Kas 加 密 的 消息 。 此 消息 中 包含 了 A 发 送 的 随 
机 量 NA,B 的 标识 ,S 生成 的 用 于 A、B 双方 认证 之 后 进行 加 密 通 信 的 会 话 密 钥 Kas ,以 及 被 
称 为 票据 (Ticket) 的 子 消 息 。 该 票据 中 包含 了 用 Ke 加 密 的 会 话 密 钥 Kas 和 A 的 标识 。A 
收 到 上 述 消息 之 后 可 以 用 天 As 解密 ,并 检查 其 中 的 随机 量 是 否 与 他 在 第 1 步 时 发 出 的 随机 
量 一 致 。 如 果 一 致 ,那么 A 就 可 以 断定 此 消息 是 新 的 (Fresh) ,因为 它 必 定 是 在 A 产生 随机 
量 之 后 才 生 成 的 。 由 于 A 可 能 同时 与 多 个 主体 通信 ,所 以 检查 消息 中 B 的 标识 对 于 确认 通 
信 的 主体 是 必要 的 。 通 过 这 条 消息 ,A 还 得 到 了 认证 服务 器 生成 的 会 话 密 钥 KAa, 以 及 票 
据 。 因 为 A 不 知道 Kas, 所 以 他 无 法 通过 解密 获知 票据 的 内 容 , 但 他 可 以 在 第 3 步 简 单 地 把 
票据 转发 给 B。 

第 3 步 ,B 收 到 A 发 出 的 消息 后 ,通过 解密 ,他 就 可 以 发 现 是 A 想 与 他 通信 ,并 且 会 话 
密 钥 是 Kas。 

第 4 步 ,B 生成 一 个 随机 量 Ns, 用 会 话 密 钥 人 As 加 密 后 发 给 A。 这 通常 被 称 为 一 个 挑 
战 (Challenge),B 通过 此 挑战 来 确定 A 知道 会 话 密 钥 。 

在 协议 的 最 后 ,A 接收 B 的 挑战 ,对 它 进 行 解密 ,把 得 到 的 随机 量 减 一 ,再 用 会 话 密 钥 
Kns 加 密 后 发 送 给 B。B 在 检验 过 收 到 的 数 的 确 是 其 发 出 的 随机 量 减 去 一 之 后 ,就 可 以 确信 
A 知道 此 会 话 密 钥 了 。 因 此 成 功 地 完成 协议 之 后 ,A 和 B 就 能 确信 他 们 之 间 拥 有 了 一 个 除 
了 可 信赖 的 认证 服务 器 之 外 ,只 有 他 们 才 知 道 的 会 话 密 钥 。 并 且 ,A 相信 与 他 用 Kas 进 行 加 
密 通 信 的 一 定 是 B, 因 为 只 有 了 才能 解密 票据 得 到 会 话 密 钥 : B 也 相信 与 他 用 Kas 进 行 加 密 
通信 的 一 定 是 A, 因 为 只 有 A 才能 解密 包含 票据 的 从 认证 服务 器 发 来 的 消息 ,而 得 到 会 话 
密 钥 KAas。 由 此 ,A 与 也 完成 了 双向 身份 认证 ,同时 也 可 以 进行 秘密 通信 了 。 

Needham-Schroeder 共享 密 钥 协议 公布 3 年 后 ,研究 人 员 发 现 了 此 协议 的 一 个 漏洞 。 
利用 此 漏洞 ,一 个 攻击 者 可 以 使 某 主体 相信 他 正 与 另 一 主体 通信 ,而 实际 上 是 在 与 攻击 者 进 
行 通 信 。 

主体 使 用 会 话 密 钥 的 目的 是 使 得 密 钥 泄露 造成 的 损失 只 局 限 在 一 轮 会 话 中 ,这 样 攻击 
者 即使 可 能 通过 密码 分 析 , 或 是 攻 入 认证 服务 器 ,或 是 攻 入 A 或 B 的 主机 来 获得 会 话 密 钥 ， 
由 于 A 和 B 之 间 下 一 轮 会 话 又 将 使 用 新 的 会 话 密 钥 ,就 使 得 攻击 一 个 会 话 密 钥 变 得 相对 昂 
贵 . 冒 险 而 又 费时 ,因此 很 不 合算 。 然 而 ,如 果 获 得 的 一 个 会 话 密 钥 能 有 更 多 的 作用 ,那么 对 
攻击 者 来 说 就 是 值得 的 了 。 假 定 有 攻击 者 H 记录 下 A 与 B 之 间 执 行 Needham-Schroeder 
共享 密 钥 协议 的 一 轮 消息 ,并 且 进 而 破获 了 其 会 话 密 钥 Kas ,也 许 此 密 钥 的 破获 可 能 相对 费 
劲 而 又 费时 (如 经 过 蛮 力 攻击 等 ), 但 攻击 者 可 以 在 第 3 步 冒 充 A 利用 旧 的 会 话 密 钥 欺骗 B。 
在 这 个 攻击 中 ,攻击 者 H 首先 向 B 发送 一 个 他 记录 的 从 A 发 出 的 旧 消 息 , 此 消息 用 于 向 B 
表明 是 A 在 与 B 通信 并 且 Kas 是 会 话 密 钥 。B 无 法 知道 这 是 不 是 一 个 A 发 送 的 正常 通信 
请 求 ,也 不 记得 他 过 去 曾经 用 过 Kas 作 为 会 话 密 钥 。 遵 循 协 议 ,B 将 向 A 发 送 一 个 加 密 的 新 
随机 量 作 为 挑战 。H 截获 信息 ,并 用 Kas 解 密 得 到 此 随机 量 , 然 后 向 B 返回 一 个 响应 消息 ， 
使 得 B 相信 他 正在 用 会 话 密 钥 Kas 与 A 通信 ,而 实际 上 A 根本 没有 参加 这 一 轮 协议 的 运 
行 。 除 非 B 记 住 所 有 以 前 使 用 的 与 A 通信 的 会 话 密 钥 ,否则 B 无 法 判断 这 是 一 个 重 放 攻 
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击 , 攻 击 者 由 此 可 以 随意 冒充 A 与 B 进行 通信 了 。 

Denning 协议 使 用 时 间 戳 修正 了 这 个 漏洞 ,改进 的 协议 如 下 所 示 。 

(1) A—S: A 人 ,了 B. 

(2) S>A: {B,Kas,T,{KAa,A,T)xs)》 

C3) A Be Ki AVThE 

(4) B>A: {Najx，。 

(5) A>B: {Ns—l1}g,. 

其 中 工 表 示 时 间 截 。T 记录 了 认证 服务 器 S 发 送 消息 (2) 时 的 时 间 ,A、B 根据 时 间 戳 验证 
消息 的 “新 鲜 性 ”, 从 而 避免 了 重 放 攻击 。 

Denning 协议 比 Needham-Schroeder 协议 在 安全 性 方面 增强 了 一 步 , 然 而 又 提出 新 的 
问题 , 即 必须 依靠 各 时 钟 均 可 通过 网 络 同步 。 如 果 发 送 者 的 时 钟 比 接收 者 的 时 钟 要 快 ,攻击 
者 就 可 以 从 发 送 者 窃听 消息 ,并 在 以 后 当时 间 堆 对 接收 者 来 说 成 为 当前 时 重 放 给 接收 者 ,这 
种 重 放 将 会 得 到 意 想不到 的 后 果 , 称 为 抑制 重 放 攻 击 。 


7.1.2 Otway-Rees 协议 


Otway-Rees 协议 的 主要 功能 是 完成 身份 的 双向 认证 ,也 是 使 用 对 称 密码 ,其 协议 过 程 
如 下 。 

(1) Alice 产生 一 报 文 ,此 报 文 包括 一 个 索引 号 M、 她 的 名 字 A、Bob 的 名 字 B 和 一 随机 
数 Rs ,用 她 和 认证 服务 器 S 共享 的 密 钥 Kas 对 此 报 文 加 密 , 再 将 索引 号 、 她 的 名 字 和 Bob 的 
名 字 以 及 她 加 密 的 报 文 一 起 发 送 给 Bob。 

M,A,B,{(RA,M,A,B}KAs 

(2) Bob 产生 一 报 文 , 此 报 文 包括 一 个 新 的 随机 数 Ra、 索引 号 M、Alice 的 名 字 A 和 
Bob 的 名 字 B。 用 他 与 S 共 享 的 密 钥 Kes 对 此 报 文 加 密 。 他 将 Alice 的 加 密 报 文 .索引 号 、 
Alice 的 名 字 、Bob 的 名 字 以 及 他 加 了 密 的 报 文 一 起 发 送 给 S。 

M,A,B,{(RA,M,A,B)KAs, (Ra,M,A,B)Kns 

(3) S 产生 一 随机 会 话 密 钥 Kas ,然后 ,产生 两 个 报 文 。 一 个 用 他 与 Alice 共享 的 密 钥 
Kas 对 Alice 的 随机 数 和 会 话 密 钥 加 密 , 另 一 个 是 用 于 Bob 共享 的 密 钥 Ke 对 Bob 的 随机 数 
和 会 话 密 钥 加 密 。 他 将 这 两 个 报 文 与 索引 号 一 起 发 送 给 Bob。 

M, {Ra,Kann} Kas, (Rs,Kap} Kms 
(4) Bob 将 用 Alice 的 密 钥 加 密 的 报 文 连同 索引 号 一 起 发 送 给 Alice。 
M,{RA, 开 Ap) 天 As 

(5) Alice 解密 报 文 , 恢 复出 她 的 密 钥 Kas 和 随机 数 RA ,然后 她 确认 协议 中 的 索引 号 和 
随机 数 都 没有 改变 。 

Otway-Rees 协议 的 认证 过 程 如 图 7.2 所 示 。 
1 在 图 7. 2 中 ,标号 1 表示 A 产生 一 条 消息 ,包括 用 和 S 


Kas* 


有 sd 共享 的 密 钥 Kas 加 密 的 一 个 索引 号 R、A 的 名 字 、B 的 名 字 和 
3 | 一 随机 数 Rs 。 
站 标号 2 表示 B 用 A 消息 中 的 加 密 部 分 构造 一 条 新 消息 。 


图 7.2 Otway-Rees 认证 过 程 ”包括 用 和 S 共享 的 密 钥 Kas 加密 的 一 个 索引 号 R、A 的 名 字 、 
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B 的 名 字 和 一 个 新 随机 数 Ra 。 

标号 3 表示 S 检查 两 个 加 密 部 分 中 的 索引 号 R 是 否 相同 ,如 果 相 同 ,就 认为 从 也 来 的 
消息 是 有 效 的 。S 产生 一 个 会 话 密 钥 Ks 用 Ks 和 Ks 分 别 加 密 后 传送 给 B, 每 条 消息 都 包 
含 S 接收 到 的 随机 数 。 

标号 4 表示 B 把 用 A 的 密 钥 加 密 的 消息 连同 索引 号 R 一 起 传 给 A。 


7.2 Kerberos 协议 


在 一 个 开放 的 分 布 式 网 络 环境 中 ,用 户 通过 工作 站 访问 服务 器 上 提供 的 服务 时 ,存在 着 
两 个 方面 的 安全 问题 。 一 方面 ,工作 站 无 法 可 信 地 向 网 络 服务 证 实用 户 的 身份 。 特 别 是 , 存 
在 着 以 下 3 种 威胁 。 

(1) 用 户 可 能 访问 某 个 特定 工作 站 ,并 假装 成 男 一 个 用 户 在 操作 工作 站 。 

(2) 用 户 可 能 会 更 改 工作 站 的 网 络 地 址 ,使 从 这 个 已 更 改 的 工作 站 上 发 出 的 请 求 看 似 
来 自 伪装 的 工作 站 。 

(3) 用 户 可 能 窃听 他 人 的 报 文 交 换 过 程 , 并 使 用 重 放 攻击 来 获得 对 一 个 服务 器 的 访问 
权 或 中 断 服务 器 的 运行 。 

因此 ,提供 服务 的 计算 机 必须 能 够 识别 请 求 服务 的 实体 的 身份 ,应 能 够 限制 非 授权 用 户 
的 访问 并 能 够 认证 对 服务 的 请 求 ,比如 我 去 邮件 服务 器 申请 我 的 邮件 ,服务 程序 必须 能 够 验 
证 我 就 是 我 所 申明 的 那个 人 。 

另 一 方面 ,在 开放 的 网 络 环 境 中 ,客户 也 必须 防止 来 自 服务 端的 欺骗 。 以 自动 取款 机 
ATM 为 例 ,如 果 存 在 欺骗 ,那么 客户 将 泄露 自己 的 账户 信息 。 

如 何 使 用 一 个 集中 的 认证 服务 器 ,提供 用 户 对 服务 器 的 认证 以 及 服务 器 对 用 户 的 认证 ， 
这 就 是 Kerberos 要 解决 的 问题 。 


7.2.1 Kerberos 概述 


Kerberos 是 由 美国 麻 省 理工 学 院 (MIT) 提 出 的 基于 可 信赖 的 第 三 方 的 认证 系统 , 它 是 
基于 Needham-Schroeder 协议 设计 的 ,采用 对 称 密码 体制 。Kerberos 提供 了 一 种 在 开放 式 
网 络 环境 下 进行 身份 认证 的 方法 , 它 使 网 络 上 的 用 户 可 以 相互 证 明 自 己 的 身份 。Kerberos 
一 词 源 自 希 腊 神 话 ,在 希腊 神话 故事 中 ,Kerberos 是 一 种 长 有 三 个 头 的 狗 ,还 有 一 个 蛇 形 尾 
巴 , 是 地 狱 之 门 的 守卫 者 。 现 代 取 Kerberos 这 个 名 字 指 要 有 “三 个 头 ” 来 守卫 网 络 之 门 ,这 
“三 个 头 ” 包 括 : 认证 (Authentication) ,清算 (Accounting) 和 审计 (Audit)。 常 见 的 版 本 有 
Kerberos Version 4 和 Kerberos Version 5。Kerberos 发 布 的 第 一 个 报告 中 列 出 了 
Kerberos 的 需求 。 

(1) 安全 性 (Security): 网 络 窃听 者 不 能 获得 必要 信息 以 假冒 其 他 用 户 。 并 上 且 ， 
Kerberos 应 足够 强壮 以 至 于 潜在 的 攻击 者 无 法 找到 它 的 脆弱 的 连接 。 

(2) 可 靠 性 (Reliability) : Kerberos 应 高 度 可 靠 ,应 该 使 用 分 布 式 服务 器 体系 结构 ,并 
且 能 够 使 得 一 个 系统 备份 另 一 个 系统 。 

(3) 透明 性 (Transparency): 用 户 除了 要 求 输入 密码 以 外 ,应 感觉 不 到 认证 的 发 生 。 
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(4) 可 伸缩 性 (Scalability): 系统 应 能 够 支持 大 数量 的 客户 机 和 服务 器 。 


为 了 以 后 叙述 方便 , 先 来 介绍 Kerberos 协议 中 的 一 些 概念 。 

。 Principal( 安 全 个 体 ): 被 鉴别 的 个 体 , 有 一 个 名 字 (Name) 和 密码 (Password) 。 

。 KDC( 密 钥 分 配 中 心 ): 可 信 的 第 三 方 , 即 Kerberos 服务 器 ,提供 Ticket 和 临时 的 会 

话 密 钥 。 

Ticket( 访 问 许可 证 ) : 是 一 个 记录 凭证 ,客户 可 以 用 它 来 向 服务 器 证 明 自 己 的 身份 ， 

其 中 包括 客户 的 标识 .会 话 密 钥 、 时 间 戳 以 及 其 他 一 些 信息 。Ticket 中 的 大 多 数 信 

息 都 被 加 密 , 密 钥 为 服务 器 的 密 钥 。 

。 Authenticator( 认 证 符 ): 是 另 一 个 记录 凭证 ,其 中 包含 一 些 最 近 产 生 的 信息 ,产生 
这 些 信 息 需要 用 到 客户 机 和 服务 器 之 间 共 享 的 会 话 密 钥 。 

。 Credentials( 证 书 ): 由 一 个 Ticket 加 上 一 个 秘密 的 会 话 密 钥 组 成 。 


Kerberos 有 一 个 保存 所 有 客户 密 钥 的 数据 库 。 对 于 个 人 客户 , 密 钥 是 一 个 加 密 的 密 
码 , 对 于 需要 鉴别 的 网 络 业务 或 希望 使 用 这 些 业务 的 客户 机 , 则 要 用 Kerberos 注册 其 密 钥 。 
由 于 Kerberos 知道 每 个 实体 的 密 钥 , 因 此 它 能 产生 消息 向 一 个 实体 证 实 另 一 个 实体 的 身 
份 , 它 还 为 两 个 实体 产生 一 个 会 话 密 钥 用 来 加 密 双 方 间 的 通信 消息 ,在 通信 完毕 后 销毁 该 会 


7.2.2 Kerberos 协议 的 工作 过 程 


Kerberos 采用 对 称 密 钥 体制 对 信息 进行 加 密 , 其 基本 思想 是 : 能 正确 对 信息 进行 解密 
的 用 户 就 是 合法 用 户 。 用 户 在 对 应 用 服务 器 进行 访问 之 前 ,必须 先 从 第 三 方 (Kerberos 服 
务 器 ) 获 取 该 应 用 服务 器 的 访问 许可 证 (Ticket)。 出 于 实现 和 安全 考虑 ,Kerberos 认证 服务 
被 分 配 到 两 个 相对 独立 的 服务 器 ,因此 Kerberos 密 钥 分 配 中心 KDC( 即 Kerberos 服务 器 ) 
是 由 认证 服务 器 ASCAuthentication Server) 和 许可 证 颁发 服务 器 TGS( Ticket Granting 
Server) 两 个 部 分 构成 的 。 


认证 服务 器 AS 


Kerberos 的 认证 过 程 如 图 7. 3 所 示 。 

认证 过 程 描述 如 下 。 

(1) 用 户 C 想 要 获取 访问 某 一 应 用 服务 
器 的 许可 证 时 , 先 以 明文 方式 向 认证 服务 器 
AS 发 出 请 求 ,要求 获得 访问 TGS 的 许可 证 。 

(2) AS 以 证 书 (Credential) 作为 响应 ,证 


许可 证 颁发 服务 器 TGS 


息 书包 括 访 问 TGS 的 许可 证 和 用 户 与 TGS 间 
六 i 全 全 贡 王 二 和 的 会 话 密 钥 。 会 话 密 钥 以 用 户 的 密 钥 加 密 后 
传输 。 


(3) 用 户 解密 得 到 TGS 的 响应 ,然后 利用 TGS 的 许可 证 向 TGS 申请 应 用 服务 器 的 许 
可 证 ,该 申请 包括 TGS 的 许可 证 和 一 个 带 有 时 间 戳 的 认证 符 (Authenticator) 。 认 证 符 以 用 
户 与 TGS 间 的 会 话 密 钥 加 密 。 

(4) TGS 从 许可 证 中 取出 会 话 密 钥 .解密 认证 符 , 验 证 认证 符 中 时 间 戳 的 有 效 性 ,从 而 
确定 用 户 的 请 求 是 否 合法 。TGS 确认 用 户 的 合法 性 后 ,生成 所 要 求 的 应 用 服务 器 的 许可 


第 7 章 网 络 安全 协议 179 


证 ,许可 证 中 含有 新 产生 的 用 户 与 应 用 服务 器 之 间 的 会 话 密 钥 。TGS 将 应 用 服务 器 的 许可 
证 和 会 话 密 钥 传 回 到 用 户 。 

(5) 用 户 向 应 用 服务 器 提交 应 用 服务 器 的 许可 证 和 用 户 新 产生 的 带 时 间 戳 的 认证 符 
(认证 符 以 用 户 与 应 用 服务 器 之 间 的 会 话 密 钥 加 密 )。 

(6) 应 用 服务 器 从 许可 证 中 取出 会 话 密 钥 .解密 认证 符 ,取出 时 间 截 并 检验 有 效 性 。 然 
后 向 用 户 返 回 一 个 带 时 间 戳 的 认证 符 , 该 认证 符 以 用 户 与 应 用 服务 器 之 间 的 会 话 密 钥 进行 
加 密 。 据 此 ,用 户 可 以 验证 应 用 服务 器 的 合法 性 。 

至 此 ,双方 完成 了 身份 认证 ,并 且 拥 有 了 会 话 密 钥 。 其 后 进行 的 数据 传递 将 以 此 会 话 密 
钥 进 行 加 密 。 因 为 从 TSG 获得 的 Ticket 是 有 时 间 标 记 的 ,因此 用 户 可 以 用 这 个 Ticket 在 
一 段 时 间 内 请 求 相 应 的 服务 而 不 用 再 次 认证 。 

Kerberos 将 认证 从 不 安全 的 工作 站 移 到 了 集中 的 认证 服务 器 上 ,为 开放 网 络 中 的 两 个 
主体 提供 身份 认证 ,并 通过 会 话 密 钥 对 通信 进行 加 密 。 对 于 大 型 的 系统 可 以 采用 层次 化 的 
区 域 (Realm) 进 行 管理 。 

综 上 所 述 ,Kerberos 使 用 一 个 集中 认证 服务 器 ,提供 用 户 对 服务 器 和 服务 器 对 用 户 的 
认证 ,而 不 是 为 每 一 个 服务 器 提供 详细 的 认证 协议 。 它 的 主要 优点 是 通过 对 实体 和 服务 的 
统一 管理 实现 单一 注册 ,也 就 是 说 用 户 通过 在 网 络 中 的 一 个 地 方 的 一 次 登录 就 可 以 使 用 网 
络 上 他 可 以 获得 的 所 有 资源 。 它 利用 传统 密码 学 中 的 共享 密 钥 技术 (V4 之 前 的 版 本 使 用 
DES 算法 ,V5 使 用 3DES 算法 增强 安全 性 ) 与 网 络 上 的 每 个 实体 和 服务 分 别 共 享 一 个 不 同 
的 秘密 密 钥 ,是否 知道 此 秘密 密 钥 即 是 身份 的 证 明 。 

Kerberos 也 存在 以 下 一 些 问 题 : 

(1) Kerberos 服务 器 的 损坏 将 使 得 整个 安全 系统 无 法 工作 。 

(2) AS 在 传输 用 户 与 TGS 间 的 会 话 密 钥 时 是 以 用 户 密 钥 加 密 的 ,而 用 户 密 钥 是 由 用 
户 密码 生成 的 ,因此 可 能 受到 密码 猜测 的 攻击 。 

(3) Kerberos 使 用 了 时 间 戳 ,因此 存在 时 间 同 步 问题 。 

(4) 要 将 Kerberos 用 于 某 一 应 用 系统 , 则 该 系统 的 客户 端 和 服务 器 端 软件 都 要 做 一 定 
的 修改 。 


7.3 SSL 协议 


安全 套 接 字 层 (Secure Socket Layer,SSL) 协 议 是 网 景 (Netscape) 公 司 提 出 的 基于 Web 
应 用 的 安全 协议 ,是 一 种 用 于 传输 层 安全 的 协议 。 传 输 层 安全 协议 的 目的 是 为 了 保护 传输 
层 的 安全 ,并 在 传输 层 上 提供 实现 保密 、 认 证 和 完整 性 的 方法 。SSL 指定 了 一 种 在 应 用 程 
序 协 议 ( 例 如 HTTP Telnet\NNTP、FTP) 和 TCP/IP 之 间 提 供 数 据 安全 性 分 层 的 机 制 。 
它 为 TCP/IP 连接 提供 数据 加 密 、 服 务 器 认证 、 消 息 完整 性 以 及 可 选 的 客户 机 认证 。 


7.3.1 SSL 协议 概述 
SSL 协议 的 体系 结构 如 图 7.4 所 示 。 


180 信息 安全 原理 与 技术 (第 2 版 ) 


SSL 握手 协议 SSL 修改 密 文 协议 | SSL 告警 协议 HTTP 
SSL 记录 协议 
TCP 
IP 


图 7.4 SSL 的 体系 结构 


从 图 7.4 中 可 以 看 出 ,SSL 协议 位 于 传输 层 上 面 , 且 它 自己 也 是 一 个 分 层 协 议 。SSL 有 
两 层 , 其 中 低层 是 SSL 记录 协议 层 ,传输 各 种 加 密 信 息 和 鉴别 信息 ,为 不 同 的 更 高 层 协议 提 
供 基本 的 安全 服务 ; 而 SSL 握手 协议 、SSL 修 标准 HTIP 
改 密 文 协议 .SSL 告警 协议 位 于 上 层 。 在 TCP 
和 HTTP 之 间 加 上 SSL 前 后 的 对 照 关 系 如 
图 7.5 所 示 。 

从 图 7. 5 中 可 看 出 , SSL 记录 协议 为 
HTTP 准备 了 一 个 简单 的 套 接 字 应 用 程序 接 
口 ,这 也 是 SSL 得 名 的 原因 。 

SSL 中 有 以 下 两 个 重要 概念 。 SS 

(1) SSL 连接 : 连接 提供 了 服务 之 间 的 传 
输 。SSL 连接 是 点 对 点 的 关系 ,每 一 个 连接 与 
一 个 会 话 相 联系 。 

(2) SSL 会 话 : SSL 会 话 是 客户 机 和 服务 
器 之 间 的 关联 ,会 话 通过 握手 协议 (在 SSL 协 
议 的 高 层 ) 来 创建 。 会 话 定 义 了 加 密 安全 参数 
的 一 个 集合 ,该 集合 可 以 被 多 个 连接 所 共享 。 
会 话 可 以 用 来 避免 为 每 个 连接 进行 昂贵 的 新 图 7.5 TCP/IP 中 加 入 SSL 记录 前 后 的 比较 
安全 参数 的 协商 。 


7.3.2 SSL 记录 协议 


SSL 协议 位 于 传输 层 上 面 ,为 了 实现 机 密 性 和 消息 完整 性 服务 , 它 从 应 用 层 取得 的 数 
据 需 要 重 定格 式 (分 片 、 压 缩 (可 选 的 )、 应 用 MAC、 加 密 等 ) 后 才能 传 给 传输 层 进行 发 送 。 
同样 , 当 SSL 协议 从 传输 层 接收 到 数据 后 需要 对 其 进行 解密 等 操作 后 才能 交 给 上 层 的 应 用 
层 。 这 个 工作 是 由 SSL 记录 协议 完成 的 。 

SSL 记录 协议 中 规定 ,发 送 方 执行 的 操作 步骤 如 下 所 示 ( 见 图 7. 6)。 

(1) 从 上 层 接受 传输 的 应 用 报 文 。 

(2) 分 片 : 将 数据 分 片 成 可 管理 的 块 ,每 个 上 层 报 文 被 分 成 16KB 或 更 小 的 数据 块 。 

(3) 进行 数据 压缩 (可 选 ): 压缩 是 可 选 的 ,压缩 的 前 提 是 不 能 丢失 信息 ,并 且 增 加 的 内 
容 长 度 不 能 超过 1024B ,默认 的 压缩 算法 为 空 。 

(4) 增加 MAC: 加 入 信息 认证 码 (MAC) ,这 一 步 需要 用 到 共享 的 密 钥 。 

(5) 加 密 : 利用 IDEA、DES、3DES 或 其 他 加 密 算法 对 压缩 报 文 和 MAC 码 进 行 数据 
加 密 。 
(6) 增加 SSL 记录 首部 : 增加 由 内 容 类 型 .主要 版 本 、 次 要 版 本 和 压缩 长 度 组 成 的 


服务 器 


SSL 记 录 协 议 
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首部 。 
(7) 将 结果 传输 到 下 层 。 上 层 报 文 
接收 方 接收 数据 的 工作 过 程 相反 ,步骤 
分 片 1 分 片 |…| 分 Fn 
(1) 从 低层 接受 报 文 。 
(2) 解密 。 压 纺 可 选 的 ) 
(3) 用 事先 商定 的 MAC 码 校 验 数据 。 f 
(4) 如 果 是 压缩 的 数据 , 则 解压 缩 。 he 
(5) 重 装配 数据 。 二 
(6) 将 信息 传输 到 上 层 。 
7.3.3 SSL 修改 密 文 规约 协议 增加 SSL 记 录 首 部 


SSL 修改 密 文 规约 协议 用 来 发 送 修改 图 7.6 SSL 记 录 协 议 的 发 送 方 执行 的 操作 步骤 
密 文 规约 协议 信息 。 任 何 时 候 客户 都 能 请 求 修改 密码 参数 ,比如 握手 密 钥 交换 。 在 修改 密 
文 规约 的 通告 发 出 以 后 ,客户 方 就 发 出 一 个 握手 密 钥 交换 信息 (如 果 可 得 到 的 话 ) ,鉴定 认证 
信息 ,服务 器 则 在 处 理 了 密 钥 交换 信息 之 后 发 送 一 个 修改 密 文 规约 信息 。 此 后 ,新 的 双方 约 
定 的 密 钥 就 将 一 直 使 用 到 下 次 提出 修改 密 钥 规约 请 求 为 止 。 


7.3.4 ”SSL 告警 协议 


SSL 告警 协议 是 用 来 将 SSL 有 关 的 告警 传送 给 对 方 实体 的 。 和 其 他 使 用 SSL 的 情况 
一 样 ,告警 报 文 按照 当前 状态 说 明 被 压缩 和 加 密 。SSL 告警 协议 的 每 个 报 文 由 两 个 字 节 组 
成 。 第 1 个 字 节 的 值 用 来 表明 告警 的 级 别 ,第 2 个 字 节 表示 特定 告警 的 代码 。 如 果 在 通信 
过 程 中 某 一 方 发 现任 何 异 常 , 就 需要 给 对 方 发 送 一 条 警示 消息 通告 。 警 示 消 息 有 两 种 : 第 1 
种 是 Fatal 错误 ,如 传递 数据 过 程 中 ,发 现 错误 的 MAC, 双 方 就 需要 立即 中 断 会 话 , 同 时 消 
除 自己 缓冲 区 中 相应 的 会 话 记 录 ; 第 2 种 是 Warning 消息 ,在 这 种 情况 下 ,通信 双方 通常 都 
只 是 记录 日 志 , 而 对 通信 过 程 不 会 造成 任何 影响 。 


7.3.5 SSL 握手 协议 


一 个 SSL 会 话 工作 在 不 同 的 状态 , 即 会话 状 态 和 连接 状态 。 

会 话 状态 包括 如 下 一 些 元 素 。 

。 会 话 标识 符 : 由 服务 器 选择 的 任意 字 节 序列 来 标识 一 个 活动 的 或 可 恢复 的 会 话 
状态 。 

。 对 方 的 证 书 : 对 方 的 X509. v3 证 书 。 这 个 元 素 是 可 选 的 ,可 以 为 空 。 

。 压缩 方法 : 即 压缩 的 算法 。 

。 密 文 规约 : 指定 加 密 算法 (比如 空 .DES 等 ) 和 MAC 算法 。 

。 主 密 钥 : 48B 长 的 客户 /服务 器 之 间 的 共享 密 钥 。 

。 可 重新 开始 标志 : 一 个 用 来 指示 会 话 是 否 可 用 于 新 连接 的 标志 。 

连接 状态 包括 以 下 内 容 。 

。 服务 器 和 客户 随机 数 : 服务 器 和 客户 为 每 次 连接 选择 的 任意 长 度 的 字 节 序列 。 

。 服务 器 写 MAC 密 钥 : 用 于 服务 器 进行 MAC 操作 的 密 钥 。 
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。 客户 写 MAC 密 钥 : 用 于 客户 MAC 操作 的 密 钥 。 

。 服务 器 写 密 钥 : 用 于 服务 器 加 密 数 据 和 客户 解密 数据 的 密 钥 。 

。 客户 写 密 钥 : 用 于 客户 加 密 数据 和 服务 器 解密 数据 的 密 钥 。 

。 初始 化 向 量 : 存储 加 密 信息 的 初始 化 向 量 。 

。 序号 : 用 以 指明 自从 上 次 修改 密 文 规约 信息 以 来 所 传输 的 信息 数量 。 


SSL 握手 协议 协调 客户 和 服务 器 之 间 的 状态 。 另 外 ,对 应 于 修改 密 文 规约 信息 的 加 密 
操作 还 有 读 和 写 状 态 。 当 有 会 话 双方 中 任意 一 方 发 送 一 个 修改 密码 规格 的 信息 , 它 便 从 挂 
起 的 写 状态 改变 为 当前 写 状 态 ; 同样 ,双方 中 任意 一 方 收 到 了 一 个 修改 密码 规约 的 信息 , 它 
便 从 挂 起 读 状态 改变 为 当前 读 状态 。 

SSL 握手 协议 用 于 鉴别 初始 化 和 传输 密 钥 , 它 使 得 服务 器 和 客户 能 相互 鉴别 对 方 的 身 
份 ,并 保护 在 SSL 记录 中 发 送 的 数据 。 因 此 在 传输 任何 应 用 数据 前 ,都 必须 使 用 握手 协议 。 
一 个 SSL 会 话 是 按 如 下 步骤 初始 化 的 。 

(1) 在 客户 方 ,用 户 用 URL 发 出 的 请 求 中 ,HTTP 用 HTTPS 替代 。 

(2) 客户 方 的 SSL 请 求 通过 TCP 的 443 端口 与 服务 器 方 的 SSL 进程 建立 连接 。 

(3) 然后 客户 方 初始 化 SSL 握手 状态 ,用 SSL 记录 协议 作为 载体 。 这 时 ,客户 /服务 器 
双方 的 连接 中 还 没有 加 密 和 完整 性 检查 的 信息 。 


另外 ,SSL 握手 协议 准许 客户 和 服务 器 一 起 协商 决定 SSL 连接 期 间 所 需 的 参数 ,如 协 
议 版 本 、 密 码 算法 .客户 和 服务 器 的 双向 鉴别 (可 选 ) 和 公 钥 加 密 算法 。 在 协商 期 间 , 所 有 握 
手 信息 都 包装 成 特定 的 SSL 信息 转发 给 SSL 记录 协议 。 图 7.7 描述 了 SSL 握手 的 过 程 。 


SSL 客 户 端 SSL 服 务 器 端 
发 送 HELLO 消 息 上 -| 


回复 HELLO 消 息 ， 
发 出 服务 器 证 
加 服务 器 密 钥 交换 信息 ， 
证 书 请 求 ， 
服务 器 HELLO DONE 


发 送 证 书 ， 
客户 密 钥 交换 信息 ， [1 .| 
证 书 验证 
结 
发 修改 密 文 规约 信息 
4 结束 
r- 发 修改 窗 文 规约 信息 
仿 数 局 ”上 H 一 人 |” 传 冯 数 沁 


图 7.7 SSL 握手 过 程 


SSL 握手 的 详细 过 程 如 下 。 

(1) 客户 发 出 一 个 带 有 客户 HELLO 信息 的 连接 请 求 。 包 括 如 下 信息 : 

。 想 要 使 用 的 SSL 版 本 号 。 

。 时 间 信 息 , 以 标准 的 UNIX 32 位 格式 标识 的 当前 时 间 和 日 期 。 

。 会 话 标识 (可 选 ) ,如 果 没 有 指定 的 话 , 则 服务 器 便 重用 上 一 次 的 会 话 标识 或 返回 一 
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个 错误 信息 。 

。 密 文 组 (客户 方 所 支持 的 各 种 加 密 算 法 选项 清单 。 包 括 认证 码 、 密 钥 交 换 方 法 .加 密 
和 MAC 算法 ) 。 

。 客户 方 所 支持 的 压缩 算法 。 

。 随机 数 。 


(2) 服务 器 评估 客户 方 发 来 的 HELLO 信息 中 的 各 项 参数 ,并 且 返 回 一 个 服务 器 方 的 
HELLO 信息 ,其 中 包含 SSL 会 话 的 各 项 参数 ,具体 内 容 如 下 。 

。 版 本 号 。 

。 时 间 信 息 , 以 标准 的 UNIX 32 位 格式 标识 的 当前 时 间 和 日 期 。 

。 会 话 标识 。 

。 密 文 组 。 

。 压缩 方法 。 

。 随机 数 。 


在 服务 器 HELLO 消息 发 送 之 后 ,服务 器 发 出 如 下 信息 。 

。 服务 器 证 书 , 如 果 服 务 器 需要 被 鉴别 的 话 。 

。 服务 器 密 钥 交 换 信息 ,如 果 得 不 到 证 书 或 证 书 仅仅 用 作 签 名 的 话 。 

。 证 书 请 求 ,如 果 客 户 要 求 被 鉴别 的 话 。 

最 后 ,服务 器 发 出 一 个 服务 器 HELLO DONE 信息 ,开始 等 待 客户 的 回音 。 

(3) 客户 发 送 下 列 信息 。 

。 如 果 服 务 器 发 出 了 一 个 证 书 请 求 ,那么 客户 方 必须 发 送 一 个 证 书 或 非 证 书信 息 。 

。 如 果 服 务 器 发 送 了 一 个 服务 器 密 钥 交 换 信息 ,那么 客户 方 就 发 送 一 个 基于 公 钥 算法 

的 由 HELLO 信息 决定 的 密 钥 交换 信息 。 
。 如 果 客 户 方 已 经 发 送 了 一 个 证 书 ,那么 客户 方 就 需 验 证 服务 器 方 的 证 书 并 且 发 出 一 
个 证 书 验证 信息 指明 结果 。 

然后 ,客户 方 发 出 一 个 结束 信息 ,指出 协商 过 程 已 经 完成 。 客 户 方 还 将 发 送 一 个 修改 密 
文 规约 信息 来 产生 共享 的 常规 密 钥 。 应 该 注意 这 部 分 工作 不 是 由 握手 协议 控制 ,而 是 由 修 
改 密 文 规约 协议 管理 的 。 

(4) 服务 器 发 出 一 个 结束 信息 ,指出 协商 阶段 完成 。 然 后 服务 器 发 出 一 个 修改 密 文 规 
约 信息 。 

(5) 会 话 双方 分 别 产 生 一 个 加 密 密 钥 ,然后 他 们 再 根据 这 些 密 钥 导 出 会 话 主 密 钥 。 握 
手 协议 改变 状态 至 连接 状态 。 所 有 从 应 用 层 来 的 数据 传输 作为 特定 信息 传输 给 对 方 。 

一 旦 主 密 钥 已 经 产生 ,客户 /服务 器 双方 就 能 用 它 来 加 密 应 用 层 的 数据 了 。SSL 记录 
协议 为 这 些 信息 指定 一 个 格式 。 一 般 这 些 信息 包含 一 个 报 文摘 要 以 保证 不 会 被 蔡 换 , 且 这 
些 数据 都 是 用 对 称 密 钥 加 密 的 。 通 常 其 中 使 用 的 对 称 密码 算法 是 RC2 或 RC4, 尽 管 在 SSL 
协议 中 也 支持 DES .三重 DES 和 IDEA。 美 国联 邦 安全 局 (NSA) 是 美国 联邦 政府 的 一 个 机 
构 , 曾 强 令 限 制 出 口 到 美国 之 外 的 加 密 产 品 密 钥 长 度 不 许 超 过 56 位 。 因 此 SSL 在 协商 阶 
段 如 果 遭 遇 出口 版 本 和 非 出 口 版 本 的 会 话 相 连接 , 则 统一 为 出 口 版 本 加 密 工 具 所 被 限制 的 
密 钥 长 度 。 

SSL 会 话 所 带 来 的 额外 开销 显然 是 不 可 忽视 的 。 因 此 SSL 协议 允许 客户 和 服务 器 双 
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方 重用 会 话 密 钥 信息 来 重新 开始 会 话 而 不 必 第 2 次 进行 协商 和 鉴别 。 经 过 握手 阶段 ,会 话 
双方 已 经 产生 了 一 个 主 密 钥 。 由 这 个 主 密 钥 ,他 们 还 将 产生 其 他 会 话 密 钥 用 于 会 话 数据 的 
对 称 加 密 和 产生 数字 签名 。 由 此 之 后 第 1 个 加 密 的 数据 是 来 自 服务 器 的 结束 信息 。 如 果 客 
户 方 能 理解 这 些 信息 , 则 意味 着 : 

(1) 机 密 性 已 经 达到 ,因为 该 信息 是 用 对 称 密 钥 加 密 的 密 文 块 (例如 DES 或 RC4)。 

(2) 信息 的 完整 性 已 经 得 到 保证 ,因为 该 信息 中 包含 了 信息 鉴别 码 ,该 码 是 一 个 报 文摘 
要 或 者 是 该 信息 本 身 再 附加 一 个 从 主 密 钥 导出 的 验证 信息 。 

(3) 服务 器 已 经 被 鉴别 ,因为 它 能 够 从 预先 主 密 钥 中 导出 主 密 钥 ,而 预先 主 密 钥 是 事先 
用 服务 器 的 公有 密 钥 加 密 传送 的 ,因此 预先 主 密 钥 也 只 有 服务 器 用 自己 的 私有 密 钥 解 开 。 
当然 ,这 都 依赖 于 服务 器 公有 密 钥 证 书 的 完整 性 。 


7.3.6 ”TLS 协议 


IETF 正在 定义 一 种 新 的 协议 ,叫做 “传输 层 安全 (Transport Layer Security, TLS)”。 
它 建 立 在 网 景 公 司 所 提出 的 SSL 3.0 协议 规范 基础 上 ,对 于 用 于 传输 层 安 全 性 的 标准 协议 ， 
整个 行业 好 像 都 正在 朝 着 TLS 的 方向 发 展 。 传 输 层 安 全 协议 (TLS)1.0 版 是 基于 SSL 的 。 
TLS 1.0 的 相关 文档 是 RFC2246。 两 个 互相 不 知 其 代码 的 应 用 程序 可 用 TLS 来 安全 地 通 
信 。SSL 3.0 和 TLS 1.0 没有 明显 的 区 别 。 对 它们 的 信息 格式 稍 加 修改 之 后 ,它们 就 能 进 
行 互 操作 了 。 
7.3.7 SSL 协议 应 用 


SSL 协议 的 应 用 很 广泛 ,例如 Web 浏览 器 ,可 以 通过 SSL 来 达到 网 页 传输 的 安全 性 。 
当 顾客 想 从 Web 站 点 购买 某 个 产品 时 ,顾客 和 Web 站 点 都 要 进行 认证 。 顾 客 通常 是 以 提 
供 名 字 和 密码 的 方式 来 认证 他 自己 。 另 一 方面 , Web 站 点 通过 交换 一 块 签名 数据 和 一 个 有 
效 的 X, 509 证 书 (作为 SSL 握手 的 一 部 分 ) 来 认证 它 自己 。 顾 客 的 浏览 器 验证 该 证 书 并 用 
所 附 的 公用 密 钥 验证 签名 数据 。 一 旦 双方 都 认证 了 , 则 交易 就 可 以 开始 了 。 

SSL 能 用 相同 的 机 制 处 理 服务 器 认证 (就 如 在 上 面 的 示例 中 所 示 ) 和 客户 机 认证 。 下 
面 我 们 来 看 一 个 使 用 Web 客户 机 和 服务 器 的 范例 。Web 客户 机 通过 连接 到 一 个 支持 SSL 
的 服务 器 ,启动 一 次 SSL 会 话 。 支 持 SSL 的 典型 Web 服务 器 在 一 个 与 标准 HTTP 请 求 ( 默 
认为 端口 80) 不 同 的 端口 (默认 为 端口 443) 上 接受 SSL 连接 请 求 。 当 客户 机 连接 到 这 个 端口 
上 时 , 它 将 启动 一 次 建立 SSL 会 话 的 握手 。 当 握手 完成 之 后 ,通信 内 容 被 加 密 , 并 且 执 行 消息 
完整 性 检查 ,直到 SSL 会 话 过 期 。SSL 创建 一 个 会 话 , 在 此 期 间 ,握手 必须 只 发 生 过 一 次 。 

SSL 握手 过 程 步骤 如 下 。 

(1) SSL 客户 机 连接 到 SSL 服务 器 ,并 要 求 服务 器 验证 它 自身 的 身份 。 

(2) 服务 器 通过 发 送 它 的 数字 证 书证 明 其 身份 。 这 个 交换 还 可 以 包括 整个 证 书 链 , 以 
至 某 个 根 证 书 权威 机 构 (CA)。 可 通过 检查 有 效 日 期 并 确认 证 书包 含有 可 信任 CA 的 数字 
签名 ,来 验证 证 书 。 

(3) 然后 ,服务 器 发 出 一 个 请 求 , 对 客户 端的 证 书 进行 验证 。 但 是 ,因为 缺乏 公 钥 体系 
结构 ,当今 的 大 多 数 服务 器 并 不 进行 客户 端 认证 。 

(4) 协商 用 于 加 密 的 消息 加 密 算 法 和 用 于 完整 性 检查 的 哈 希 函数 。 通 常 由 客户 机 提供 
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它 支 持 的 所 有 算法 列表 ,然后 由 服务 器 选择 最 强健 的 加 密 算法 。 
(5) 客户 机 和 服务 器 通过 下 列 步 又 生成 会 话 密 钥 。 
@ 客户 机 生成 一 个 随机 数 ,并 使 用 服务 器 的 公 钥 (从 服务 器 的 证 书 中 获得 ) 对 它 加 密 ， 
并 发 送 到 服务 器 上 。 
@ 服务 器 用 更 加 随机 的 数据 ( 当 客 户 机 的 密 钥 可 用 时 则 使 用 客户 机 密 钥 ; 否则 以 明文 
方式 发 送 数 据 ) 响 应 。 
@ 使 用 哈 希 函数 ,从 随机 数据 生成 密 钥 。 
综 上 所 述 ,SSL 的 主要 目的 是 在 两 个 通信 应 用 程序 之 间 提 供 私密 性 和 可 靠 性 ,使 应 用 
程序 在 通信 时 不 用 担心 被 窃听 和 算 改 。SSL 协议 的 优点 是 它 提 供 了 连接 安全 ,具有 以 下 
3 个 基本 属性 。 
。 机密 性 ; 即 连接 是 私有 的 。 在 初始 握手 阶段 ,双方 建立 对 称 密 钥 后 ,信息 即 用 该 密 
钥 加 密 。 

。 完整 性 : 在 信息 中 能 入 信息 鉴别 码 (MAC) 来 保证 信息 的 完整 性 。 其 中 使 用 了 安全 
哈 希 函数 (例如 SHA 和 MD5) 来 进行 MAC 计算 。 

。 鉴别 : 在 握手 阶段 ,客户 用 不 对 称 密 钥 或 公开 密 钥 鉴别 服务 器 。 


但 是 ,SSL 要 求 对 每 个 数据 进行 加 密 和 解密 操作 ,因而 在 带 来 高 性 能 的 同时 ,对 系统 也 
要 求 高 资源 开销 。 另 外 ,SSL 协议 主要 是 使 用 公开 密 钥 体制 和 X. 509 数字 证 书 技术 保护 信 
息 传输 的 机 密 性 和 完整 性 , 它 不 能 保证 信息 的 不 可 否认 性 ,主要 适用 于 点 对 点 之 间 的 信息 传 
输 , 常 用 Web Server 方式 。 再 者 ,SSL 为 带 有 安全 功能 的 TCP/IP 套 接 字 应 用 程序 接口 提 
供 了 一 个 替代 的 方法 。 从 理论 上 ,在 SSL 之 上 可 通过 安全 方式 运行 任何 原 有 TCP/IP 应 用 
程序 而 不 需 修改 。 但 实际 上 ,SSL 目前 还 只 是 用 在 HTTP 连接 上 。 网 景 公司 打算 将 SSL 
用 到 其 他 一 些 应 用 层 协 议 上 ,诸如 NNTP 和 Telnet。 


7.4 IPSec 协议 


IP 层 是 TCP/IP 网 络 中 最 关键 的 一 层 ,IP 作为 网 络 层 协议 ,其 安全 机 制 可 对 它 上 层 的 
各 种 应 用 服务 提供 透明 的 覆盖 式 安全 保护 。 因 此 ,IP 安全 是 整个 TCP/IP 安全 的 基础 ,是 
Internet 安全 的 核心 。 

由 于 协议 IPv4 在 最 初 设计 时 没有 过 多 地 考虑 安全 性 ,缺乏 对 通信 双方 真实 身份 的 验证 
能 力 ,缺乏 对 网 络 上 传输 的 数据 的 完整 性 和 机 密 性 保护 ,并 且 由 于 IP 地 址 可 用 软件 配置 等 
灵活 性 以 及 基于 源 IP 地 址 的 认证 机 制 , 使 IP 层 存 在 着 网 络 业务 流 易 被 监听 和 捕获 、IP 地 
址 欺骗 ,信息 泄露 和 数据 项 被 算 改 等 多 种 攻击 方式 ,而 IP 是 很 难 抵抗 这 些 攻击 的 。 

为 了 实现 IP 安全 ,Internet 工程 任务 组 (IETF) 于 1994 年 启动 了 一 项 IP 安 全 工程 , 专 
门 成 立 了 IP 安全 协议 工作 组 (IPSec) ,来 制定 和 推动 一 套 称 为 IPSec 的 IP 安全 协议 标准 。 
其 目标 就 是 把 安全 特征 集成 到 IP 层 ,以 便 对 Internet 的 安全 业务 提供 低层 的 支持 。1995 
年 8 月 ,IETF 公布 了 5 个 与 安全 有 关 的 建议 标准 ,在 互联 网 层 定 义 了 一 个 IP 安全 体系 结 
构 一 一 IPSec,IPSec 主要 文档 如 下 。 
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。 RFC2401: 安全 体系 结构 概述 。 

。 RFC2402: IP 鉴别 首部 (Authentication Header, AH)。 

。 RFC2406: 封装 安全 载荷 (Encapsulating Security Payload,ESP) 。 
。 RFC2409: Internet 密 钥 交换 (The Internet Key Exchange,IKE) 。 


IPSec 提供 了 两 种 安全 机 制 : 认证 和 加 密 。 认 证 机 制 使 IP 通信 的 数据 接收 方 能 够 确认 
数据 发 送 方 的 真实 身份 以 及 数据 在 传输 过 程 中 是 否 遭 算 改 。 加 密 机 制 通过 对 数据 进行 编码 
来 保证 数据 的 机 密 性 ,以 防 数据 在 传输 过 程 中 被 窃听 。IPSec 通过 在 IP 协议 中 增加 两 个 基 
于 密码 的 安全 机 制 一 一 验证 头 (AH) 和 封装 安全 有 效 负载 (ESP) 一 一 来 实现 IP 数据 项 的 认 
证 .完整 性 和 机 密 性 。 通 过 IP 安全 协议 和 密 钥 管理 协议 构建 起 IP 层 安 全 体系 结构 的 框架 ， 
能 保护 所 有 基于 IP 的 服务 和 应 用 ,并 且 当 这 些 安全 机 制 正确 实现 时 , 它 不 会 对 用 户 .主机 及 
其 他 未 采用 这 些 安 全 机 制 的 Internet 部 件 有 负面 影响 。 由 于 这 些 安全 机 制 是 独立 于 算法 
的 ,所 以 在 选择 和 改变 算法 时 不 会 影响 其 他 部 分 的 实现 ,对 用 户 和 上 层 应 用 程序 是 透明 的 。 
IPSec 的 设计 既 适 用 于 IPv4 又 适用 于 IPv6, 它 在 IPv4 中 是 一 个 建议 的 可 选 服务 ,对 于 IPv6 
则 是 一 项 必须 支持 的 功能 。 
7.4.1 IPSec 安全 体系 结构 

IPSec 协议 不 是 一 个 单独 的 协议 ,而 是 一 组 安全 协议 集 , 是 在 IP 包 级 为 IP 业务 提供 
保护 的 安全 协议 标准 ,其 基本 目的 就 是 把 安全 机 制 引 入 IP 协议 ,通过 使 用 现代 密码 学 方 
法 支持 机 密 性 和 认证 性 服务 ,使 用 户 能 有 选择 地 使 用 并 得 到 所 期 望 的 安全 服务 。IPSec 
包括 众多 协议 和 算法 ,比如 网 络 认证 协议 (AH)、 


封装 安全 载荷 协议 (ESP) 、 密 钥 管理 协议 (IKE) 和 体系 结构 
用 于 网 络 认证 及 加 密 的 一 些 算法 等 。IPSec 将 几 i = 
种 安全 技术 结合 形成 一 个 比较 完整 的 安全 体系 结 
构 , 它 规定 了 如 何在 对 等 层 之 间 选 择 安全 协议 , 确 1 1 
定安 全 算法 和 密 钥 交换 ,向 上 提供 了 访问 控制 . 数 加 密 算法 认证 算法 
据 源 认证 ,数据 加 密 等 网 络 安全 服务 。 这 些 协议 
之 间 的 相互 关系 如 图 7. 8 所 示 。 | -| bor |- 

在 IPSec 安全 协议 组 中 ,ESP 机 制 规定 了 为 | 
通信 提供 机 密 性 和 完整 性 保护 的 具体 方案 ,包括 二 


ESP 载荷 的 格式 、 语 义 、 取 值 以 及 对 进入 分 组 和 外 
出 分 组 的 处 理 过 程 等 。 其 中 ,ESP 涉及 密码 学 中 国生 和 50 攻守 想 委 区 

的 核心 组 件 一 一 加 密 和 鉴别 算法 。 为 了 IPSec 通 

信 两 端 能 相互 交互 ,ESP 载荷 中 各 字段 的 取 值 应 该 对 双方 都 可 理解 ,因此 通信 双方 必须 保 
持 对 通信 消息 相同 的 解释 规则 , 即 应 持 有 相同 的 解释 域 (Interpretation of Domain,DODI) 。 
DOI 规定 了 每 个 算法 的 参数 要 求 和 计算 规则 ,如 对 算法 的 密 钥 长 度 要 求 、, 对 算法 强度 要 求 
以 及 初始 向 量 的 计算 规则 等 。 为 了 达到 IPSec 实施 的 互通 性 ,ESP 还 规定 了 双方 必须 支持 
的 默认 的 加 密 及 鉴别 算法 。 当 需要 在 IPSec 中 加 入 新 的 算法 时 ,可 以 通过 扩展 DOI 以 及 在 
协商 时 修改 相应 算法 字段 的 取 值 来 达到 目的 。 
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AH 协议 定义 了 认证 的 应 用 方法 ,提供 数据 源 认证 和 完整 性 保证 。AH 协议 规定 了 
AH 头 在 AH 实现 中 应 插入 IP 头 的 位 置 .AH 头 的 语法 格式 ,各 字段 的 语义 及 取 值 方式 ,以 
及 实施 AH 时 进入 和 外 出 分 组 的 处 理 过 程 。AH 机 制 涉及 密码 学 中 的 核心 组 件 一 一 鉴别 算 
法 。 为 了 达到 通信 双方 的 相互 交互 ,AH 实现 的 通信 双方 必须 支持 默认 的 鉴别 算法 ,以 确保 
通信 双方 的 互通 性 。 当 需要 在 IPSec 中 添 入 新 的 鉴别 算法 时 ,可 以 通过 扩展 相应 DOI 的 取 
值 以 及 修改 协商 时 的 相应 算法 字段 来 实现 。 

在 实际 进行 IP 通信 时 ,可 以 根据 实际 安全 需求 同时 使 用 AH 和 ESP 这 两 种 协议 或 选 
择 使 用 其 中 的 一 种 。AH 和 ESP 都 可 以 提供 认证 服务 ,不 过 ,AH 提供 的 认证 服务 要 强 
于 ESP。 

IKE 协议 是 IPSec 目前 唯一 的 、 正 式 确定 的 密 钥 交 换 协议 ,为 AH 和 ESP 提供 密 钥 交 
换 支持 ,同时 也 支持 其 他 机 制 , 如 密 钥 协商 。 

为 了 正确 封装 及 提取 IPSec 数据 包 , 有 必要 采取 一 套 专门 的 方案 ,将 安全 服务 或 密 钥 与 
要 保护 的 通信 数据 联系 到 一 起 ; 同时 要 将 远程 通信 实体 与 要 交换 密 钥 的 IPSec 数据 传输 联 
系 到 一 起 。 换 名 话说 ,要 解决 如 何 保护 通信 数据 ,保护 什么 样 的 通信 数据 以 及 由 谁 来 实行 保 
护 的 问题 。 这 样 的 构建 方案 称 为 安全 关联 (Security Association, SA)。 

SA 是 两 个 应 用 IPSec 实体 (主机 和 路 由 器 ) 间 的 一 个 单 向 逻辑 连接 ,决定 保护 什么 、 如 
何 保护 以 及 谁 来 保护 通信 数据 。 它 规定 了 用 来 保护 数据 包 安 全 的 IPSec 协议 .转换 方式 、 密 
钥 以 及 密 钥 的 有 效 存 在 时 间 等 。SA 是 单 向 的 ,要 么 对 数据 包 进 行 “ 进 入 ”保护 ,要 么 进行 
“外 出 ”保护 。 也 就 是 说 ,在 一 次 通信 中 ,IPSec 需要 建立 两 个 SA ,一 个 用 于 入 站 通信 , 另 一 
个 用 于 出 站 通信 。 若 某 台 主机 ,如 文件 服务 器 或 远程 访问 服务 器 ,需要 同时 与 多 台 客 户 机 通 
信 , 则 该 服务 器 需要 与 每 台 客户 机 分 别 建立 不 同 的 SA。 每 个 SA 用 唯一 的 SPI 索引 标识 ， 
当 处 理 接收 数据 包 时 ,服务 器 根据 SPI 值 来 决定 该 使 用 哪 种 SA。 

具体 采用 什么 方式 ,要 由 三 方面 的 因素 决定 : 第 一 个 是 安全 参数 索引 (SPI) ,该 索引 存 
在 于 IPSec 协议 头 内 ; 第 二 个 是 IPSec 协议 值 ; 第 三 个 是 要 向 其 应 用 SA 的 目标 地 址 。 通 
常 ,SA 是 以 成 对 的 形式 存在 的 ,每 个 朝 一 个 方向 。 既 可 手工 创建 它 ,也 可 采用 动态 创建 方 
式 。 在 手工 方式 下 ,安全 参数 由 管理 员 按 安全 策略 手工 指定 .手工 维护 。 但 是 ,手工 维护 容 
易 出 错 , 而 且 手工 建立 的 SA 没有 存活 时 间 的 说 法 ,除非 再 用 手工 方式 将 其 删除 ,否则 便 会 
一 直 存 在 下 去 。 若 用 动态 方式 创建 , 则 SA 有 一 个 存活 时 间 与 其 关联 在 一 起 。 这 个 存活 时 
间 通 常 是 由 密 钥 管理 协议 在 IPSec 通信 双方 之 间 加 以 协商 而 确立 下 来 的 ,存活 时 间 非 常 重 
要 。 若 超时 使 用 一 个 密 钥 ,会 为 攻击 者 侵入 系统 提供 更 多 的 机 会 。SA 的 自动 建立 和 动态 
维护 是 通过 IKE 进行 的 。 如 果 安 全 策略 要 求 建立 安全 、 保 密 的 连接 ,但 却 不 存在 相应 的 
SA,IPSec 的 内 核 则 会 启动 或 触发 IKE 协商 。 

SA 驻 留 在 安全 关联 数据 库 (SAD) 内 。SAD 为 进入 和 外 出 包 维持 一 个 活动 的 SA 列 
表 。SAD 的 字段 包括 如 下 内 容 。 

。 外 部 头目 的 IP 地 址 : SA 的 目的 地 址 ,可 为 终端 用 户 系 统 、 防 火 墙 . 路 由 器 等 网 络 系 

统 。 目 前 的 SA 管理 机 制 只 支持 单 播 地 址 的 SA。 

。 IPSec 协议 : 标识 SA 用 的 是 AH 还 是 ESP。 

。 SPI: 32 位 的 安全 参数 索引 ,标识 同一 个 目的 地 的 SA。 

。 序号 计数 器 : 32 位 ,用 于 产生 AH 或 ESP 头 的 序号 , 仅 用 于 外 出 数据 包 。 
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。 序号 计数 器 溢出 标志 : 标识 序号 计数 器 是 否 溢出 。 如 溢出 , 则 产生 一 个 审计 事件 ， 
并 禁止 用 SA 继续 发 送 数据 包 。 

。 抗 重播 窗口 : 32 位 计数 器 及 位 图 ,用 于 决定 进入 的 AH 或 ESP 数据 包 是 否 为 重 发 。 
仅 用 于 进入 数据 包 , 如 接收 方 不 选择 抗 重 播 服 务 ( 如 手工 设置 SA 时 ), 则 抗 重播 窗 
口 未 被 使 用 。 

。 AH 信息 : 指示 认证 算法 、 密 钥 、 密 钥 生 命 期 等 与 AH 相关 的 参数 。 

。 ESP 信息 : 指示 加 密 认 证 算法 、. 密 钥 、 初 始 值 . 密 钥 生 命 期 等 与 ESP 相关 参数 。 

。 SA 的 生存 期 : 一 个 时 间 间 隔 。 超 过 这 一 间隔 后 ,应 建立 一 个 新 的 SA( 以 及 新 的 
SPI) 或 终止 通信 。 生 存 期 以 时 间或 字 节 数 为 标准 ,或 将 两 者 结合 使 用 ,并 优先 采用 
先 到 者 。 

。 IPSec 协议 模式 : 隧道 ,传输 或 混合 方式 (通配符 ) ,说 明 应 用 AH 或 ESP 的 模式 。 

。 路 径 最 大 传输 单元 MTU: 所 考察 的 路 径 的 MTU 及 其 寿命 变量 。 


SA 提供 的 安全 服务 取决 于 所 选 的 安全 协议 (AH 或 ESP) .SA 模式 、SA 作用 的 两 端点 和 
安全 协议 所 要 求 的 服务 。 一 个 SA 对 全数 据 报 不 能 同时 提供 AH 和 ESP 保护 。 因 此 ,如 果 要 
对 特定 业务 流 提供 多 种 安全 保护 ,就 需要 使 用 多 个 SA。 一 系列 SA 被 应 用 于 业务 流 , 则 称 其 
为 SA 束 。SA 束 的 顺序 由 安全 策略 决定 ,SA 束 中 各 个 SA 的 终点 可 能 不 同 。 例 如 ,一 个 SA 
可 能 用 于 移动 主机 与 安全 网 关 之 间 ,而 另 一 个 可 能 用 于 移动 主机 与 安全 网 关内 的 主机 之 间 。 


7.4.2 AH 协议 


1. AH 的 功能 

AH 协议 为 IP 通信 提供 数据 源 认 证 .数据 完整 性 和 反 重 播 保证 , 它 能 保护 通信 和 免 受 算 
改 ,但 不 能 防止 窃听 ,适合 用 于 传输 非 机 密 数 据 。AH 的 工作 原理 是 在 每 一 个 数据 包 上 添加 
一 个 身份 验证 报头 。 此 报头 包含 一 个 带 密 钥 的 Hash 散 列 ( 可 以 将 其 当 作 数 字 签 名 ,只 是 它 
不 使 用 证 书 ) ,此 Hash 散 列 在 整个 数据 包 中 计算 ,因此 对 数据 的 任何 更 改 将 致使 散 列 无 
效 一 一 这 样 就 提供 了 完整 性 保护 。AH 不 能 提供 加 密 服务 ,这 就 意味 着 分 组 将 以 明文 的 形 
式 传送 。 由 于 AH 的 速度 比 ESP 稍微 快 一 点 ,因此 仅 当 需 要 确保 分 组 的 源 和 完整 性 而 不 考 
虑 机 密 性 的 时 候 , 可 以 选择 使 用 AH。 

2. AH 的 两 种 模式 


在 为 每 一 个 数据 包 添加 身份 验证 报头 时 ,AH 可 以 使 用 两 种 模式 : 传输 模式 和 隧道 模 
式 。 传 输 模式 用 于 两 台 主 机 之 间 , 只 对 上 层 协议 数据 (传输 层 数据 ) 和 IP 头 中 的 固定 字段 提 
供认 证 ,主要 保护 传输 层 协议 头 ,实现 端 到 端的 安全 ; 隧道 模式 对 整个 IP 数据 项 提供 认证 
保护 ,把 需要 保护 的 IP 包 封装 在 新 的 IP 包 中 , 既 可 用 于 主机 也 可 用 于 安全 网 关 , 并 且 当 
AH 在 安全 网 关上 实现 时 ,必须 采用 隧道 模式 。 

TT 在 传输 模式 的 AH 中 ,封装 后 的 分 组 IP 头 仍然 是 
报头 | 报头 | 报头 | sa 原 IP 头 ,只 是 耳 头 的 协议 字段 由 原来 的 值 变 为 
! 3 ! 51, 表 示 IP 头 后 紧 接 的 载荷 为 AH 载荷。 一 般 AH 

半分 多 为 整个 数据 包 提供 完整 性 检查 ( 见 图 7. 9) ,但 如 果 
a IP 报头 中 包含 “生存 期 (Time To Live) ”或 “服务 类 
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型 (Type of Service) ”等 值 可 变 字段 , 则 要 在 进行 完整 性 检查 时 应 将 这 些 值 可 变 的 字段 
去 除 。 

在 传输 模式 中 ,即使 内 网 中 的 其 他 用 户 也 不 能 自 改 传输 于 两 个 主机 之 间 的 数据 内 容 ,这 
分 担 了 IPSec 处 理 负荷 ,从 而 避免 发 生 IPSec 处 理 的 瓶颈 问题 。 由 于 每 一 个 希望 实现 传输 
模式 的 主机 都 必须 安装 并 实现 IPSec 模块 ,因此 它 不 能 实现 对 端 用 户 的 透明 服务 。 用 户 为 
获得 AH 提供 的 安全 服务 ,必须 付出 内 存 . 处 理 时 间 等 方面 的 代价 ,而 且 由 于 不 能 使 用 私有 
IP 地 址 ,因此 必须 使 用 公共 地 址 资源 ,这 就 可 能 暴露 子 网 内 部 的 拓扑 结构 。 

在 隧道 模式 的 AH 中 ,不 是 将 原始 的 IP 报头 移 到 最 左边 然后 插入 AH 报头 ,而 是 复制 

原始 IP 报头 ,并 将 复制 的 IP 报头 移 到 数据 报 最 左边 作为 新 的 IP 报头 。 随 后 在 原始 IP 报 
头 与 IP 报头 的 副本 之 间 放 置 AH 报头 。 原 始 IP 报头 保持 原封 不 动 , 并 且 整个 原始 IP 报头 
都 被 认证 或 由 加 密 算法 进行 保护 。 

图 7. 10 标示 出 了 AH 隧道 模式 中 的 签名 [PT ANTIURTTCRUDR 
部 分 。AH 隧道 模式 为 整个 数据 包 提供 完整 | 报头 | 报头 | 报头 | 报关 | 应 用 程序 数据 
性 检查 和 认证 ,认证 功能 优 于 ESP。 但 在 隧道 ! 
技术 中 ,AH 协议 很 少 单独 实现 ,通常 与 ESP 于 玫 检查 部分 多 
协议 组 合 使 用 。 A 隐 道 全 人 

隧道 模式 的 AH 实施 的 优点 是 : 子 网 内 部 的 各 主机 可 以 借助 路 由 器 的 IPSec 处 理 , 透 
明 地 得 到 安全 服务 , 子 网 内 部 可 以 使 用 私有 IP 地 址 ,因而 无 须 申请 公有 地 址 资源 。 它 的 缺 
点 是 : IPSec 主要 集中 在 路 由 器 ,增加 了 路 由 器 的 处 理 负荷 ,容易 形成 通信 的 瓶颈 ,内 部 的 诸 
多 安全 问题 (如 算 改 等 ) 不 可 控 。 

3. AH 的 格式 

AH 报头 字段 包括 以 下 几 个 部 分 ( 见 图 7.11)。 


| | I | 
,| ”im [安全 参数 数据 
E 个 报关 长 度 | 序列 号 [| 


7.11 AH 报头 格式 


。 Next Header( 下 一 个 报头 , 占 8 字 节 ): 识别 下 一 个 使 用 IP 协议 号 的 报头 。 例 如 ， 
Next Header 值 等 于 6 时 ,表示 紧 接 其 后 的 是 TCP 报头 。 对 于 UDP, 它 的 值 将 
是 17。 

Length( 长 度 , 占 8 字 节 ): AH 报头 长 度 。 

。 Security Parameters Index(SPI, 安 全 参数 索引 , 占 32 字 节 ): 这 是 一 个 为 数据 报 识 
别 安全 关联 的 32 位 伪 随 机 值 。 其 中 ,SPI 值 0 被 保留 ,用 来 表明 “没有 安全 关联 
存在 ”。 

。 Sequence Number( 序 列 号 , 占 32 字 节 ): 这 是 一 个 无 符号 单调 递增 的 计数 器 ,从 1 
开始 的 32 位 单 增 序列 号 ,不 允许 重复 ,唯一 地 标识 了 每 一 个 发 送 数据 包 ,为 安全 关 
联 提供 反 重 播 保 护 。 接 收 端 将 校 验 序列 号 为 该 字段 值 的 数据 包 是 否 已 经 被 接收 过 ， 
若是 , 则 拒 收 该 数据 包 。 对 于 一 个 特定 的 SA. 它 用 于 实现 反 重 传 服 务 。 这 些 信息 不 
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被 接收 对 等 实体 使 用 ,但 是 发 送 方 必 须 包 含 这 些 信 息 。 当 建立 一 个 SA 时 ,这 个 值 
被 初始 化 为 0。 如 果 使 用 反 重 传 服务 重 传 ,那么 这 个 值 决 不 允许 重复 。 由 于 发 送 方 
并 不 知道 接受 方 是 否 使 用 了 反 重 传 功能 ,该 字段 中 的 值 不 能 被 重复 的 事实 就 要 求 终 
止 SA, 并 且 在 传送 第 23 个 分 组 之 前 建立 一 个 新 的 SA。 

。 Authentication Data(AD, 认 证 数据 ,可 变 长 ): 该 字段 包含 了 数据 包 的 哈 希 值 ,用 于 
检验 数据 的 完整 性 。 接 收 端 接收 数据 包 后 ,首先 执行 Hash 计算 ,再 与 发 送 端 所 计 
算 的 该 字段 值 比较 , 若 两 者 相等 ,表示 数据 完整 , 若 在 传输 过 程 中 数据 遭 修 改 , 两 个 
计算 结果 不 一 致 , 则 丢弃 该 数据 包 。 通 过 这 个 值 ,通信 双方 能 实现 对 数据 的 完整 性 
保护 、 分 组 级 数据 源 鉴别 以 及 通信 的 抗 重 放 攻 击 。 

4. 认证 算法 

用 于 计算 完整 性 校 验 值 (ICV) 的 认证 算法 由 SA 指定 ,对 于 点 到 点 通信 ,合适 的 认证 算 
法 包括 基于 对 称 密码 算法 (如 DES) 或 基于 单 向 Hash 函数 (如 MD5 或 SHA-1) 的 带 密 钥 的 
消息 认证 码 C(MAC ) 。 

对 于 特定 的 耳 包 ,只 有 当 IPSec 系统 判定 了 有 与 之 相应 的 SA 后 , 才 调用 AH 处 理 过 
程 对 IP 包 进行 AH 处 理 。 发 送 者 对 IP 包 计算 认证 数据 ICV ,并 将 结果 放 和 人 输出 包 的 认证 
数据 字段 随 包 发 送 。 接 收 者 在 接收 包 之 前 ,会 对 认证 数据 的 正确 性 进行 验证 ,正确 的 IP 包 
才 被 接收 ,和 否则 将 包 丢 弃 , 并 作为 审计 事件 记 入 日 志 。RFC2402 对 AH 头 的 格式 、 位 置 、 验 
证 的 范围 及 进入 和 外 出 处 理 规则 进行 了 描述 。 


n 


7.4.3 ESP 协议 


1. ESP 的 功能 

ESP 为 IP 数据 包 提供 完整 性 检查 .认证 和 加 密 。 可 以 将 其 看 作 是 “超级 AH”, 因 为 它 
提供 机 密 性 并 可 防止 自 改 。ESP 服务 依据 建立 的 安全 关联 (SA) 是 可 选 的 。 然 而 ,也 有 如 下 
一 些 限制 。 

。 完整 性 检查 和 认证 一 起 进行 。 

。 仅 当 与 完整 性 检查 和 认证 一 起 时 “重播 (Replay) "保护 才 是 可 选 的 。 

。“ 重 播 ”保护 只 能 由 接收 方 选择 。 

ESP 的 加 密 服务 是 可 选 的 ,但 如 果 启 用 加 密 , 则 也 就 同时 选择 了 完整 性 检查 和 认证 。 
因为 如 果 仅 使 用 加 密 , 入 侵 者 就 可 能 伪造 包 以 发 动 密码 分 析 攻 击 。ESP 可 以 单独 使 用 ,也 
可 以 和 AH 结合 使 用 。 

2. ESP 的 两 种 模式 

ESP 也 有 两 种 模式 : 传输 模式 和 隧道 模式 。 但 ESP 协议 的 工作 模式 与 AH 不 一 样 。 
正如 ESP 的 名 字 暗 示 的 那样 ,ESP 使 用 一 个 头 和 一 个 尾 包围 原始 的 数据 报 ,从 而 封装 它 的 
全 部 或 部 分 内 容 。 

图 7.12 给 出 了 ESP 传输 模式 。 这 时 ,IP 报头 被 调整 到 数据 报 左边 ,并 插入 ESP 报头 。 
ESP 报 尾 以 及 ICV( 完 整 性 校 验 值 ,用 于 认证 ) 被 附加 在 数据 报 末 端 。 如 果 需 要 加 密 , 仅 对 
原始 数据 和 新 的 ESP 报 尾 进行 加 密 。 认 证 从 ESP 报头 一 直 延 伸 到 ESP 报 尾 。 
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原始 分 组 
| 数据 | 
夺 


7 
pe 


IP 头 ESP 头 数据 ESP 尾 ICV 


加 密 部 分 | 
认证 部 分 


7.12 ESP 传输 模式 


图 7. 13 描述 了 ESP 隧道 模式 。 在 ESP 隧道 模式 下 , 原 数 据 包 ( 包 括 原 IP 报头 和 数据 ) 
被 封装 在 ESP 报头 和 ESP 报 尾 之 间 , 外 边 附 上 了 新 的 IP 报头 。 在 这 种 模式 下 ,加 密 部 分 为 
原 IP 数据 包 和 ESP 报 尾 ,完整 性 检查 部 分 为 ESP 报头 、 原 IP 数据 包 以 及 ESP 报 尾 。 整 个 
原始 数据 报 都 可 以 用 这 种 方法 进行 加 密 或 认证 。 如 果 既 选择 ESP 认证 又 选择 ESP 加 密 ， 
那么 应 该 首先 实现 加 密 。 这 就 允许 在 传输 之 前 与 发 送 方 没有 改变 数据 报 的 保证 一 同 实现 认 
证 ,并 且 接 受 方 在 对 分 组 进行 解密 之 前 认证 数据 报 。 


新 IP | ESP 庄原 [BITCP/UDP ESP ESP 
报头 访 著 报头 | 认证 报 尾 
| 


加密 部 分 | 
[ 完整 性 检查 部 分 (签名 ) 
7.13 ”ESP 隧道 模式 


3. ESP 的 格式 
ESP 协议 包括 ESP 报头 .ESP 报 尾 和 ESP 认证 报 尾 3 个 部 分 。ESP 由 IP 协议 号 50 
标识 。 
ESP 报头 字段 包括 以 下 一 些 内 容 ( 见 图 7. 14)。 
原 IP | IPSec | 传输 层 ESP ESP 


湾 | (ESP) | 报头 | 应 用 程序 数据 
A 报头 | TCP/UDP 报 尾 | ”认证 报 尾 


I I 
[ 1 [ I 1 
安全 参数 索引 > .| 扩展 位 | 下 一 个 报头 认证 数据 
(SPD 序列 号 扩展 位 | 长 度 (TCP/UDP)|| ” (Hash 检查 和 ) 
图 7.14 ESP 报头 、 报 尾 和 认证 报 尾 


。 Security Parameters Index(SPI, 安 全 参数 索引 ) : 为 数据 包 识 别 安全 关联 。 

。 Sequence Number( 序 列 号 ): 从 1 开始 的 32 位 单 增 序列 号 ,不 允许 重复 ,唯一 地 标 
识 了 每 一 个 发 送 数 据 包 ,为 安全 关联 提供 反 重 播 保护 。 接 收 端 校 验 序列 号 为 该 字段 
值 的 数据 包 是 否 已 经 被 接收 过 ,若是 , 则 拒 收 该 数据 包 。 


ESP 报 尾 字段 包括 以 下 内 容 ( 见 图 7. 14) 。 

。 Padding( 扩 展位 ): 0 一 255 个 字 节 。DH 算法 要 求 数据 长 度 (以 位 为 单位 ) 模 512 为 
448, 若 应 用 数据 长 度 不 足 , 则 用 扩展 位 填充 。 

。 Padding Length( 扩 展位 长 度 ): 接收 端 根据 该 字段 长 度 去 除数 据 中 的 扩展 位 。 
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。 Next Header( 下 一 个 报头 ): 识别 下 一 个 使 用 IP 协议 号 的 报头 ,如 TCP 或 UDP。 


ESP 认证 报 尾 字段 包括 的 内 容 为 : Authentication Data( AD, 认 证 数据 ) ,包含 完整 性 
检查 和 ( 见 图 7. 14)。 不 管 是 在 ESP 传输 模式 下 还 是 在 ESP 隧道 模式 下 ,完整 性 检查 都 
从 ESP 报头 一 直 延 伸 到 ESP 报 尾 , 但 不 包括 IP 报 头 , 因 此 ESP 不 能 保证 IP 报头 不 被 
算 改 。 
如 果 已 经 使 用 了 其 他 IPSec 协议 , 则 ESP 报头 应 插 在 其 他 任何 IPSec 协议 报头 之 前 。 
4. 加 密 算法 和 认证 算法 
ESP 所 采用 的 加 密 算法 由 SA 指定 。 为 了 提高 加 密 效 率 , ESP 设计 使 用 的 是 对 称 密码 
算法 。 由 于 IP 包 可 能 会 失 序 到 达 , 因 此 每 个 IP 包 必 须 携带 接收 者 进行 解密 所 要 求 的 密码 
同步 数据 (如 初始 化 向 量 IV)。 这 个 数据 可 以 在 有 效 负载 字段 中 明确 携带 ,也 可 以 从 包头 中 
推导 出 来 。 由 于 机 密 性 是 可 选择 的 ,因此 加 密 算 法 可 以 是 “ 空 ”。ESP 中 的 认证 算法 与 AH 
的 认证 算法 一 样 。 由 于 认证 算法 是 可 选 的 ,因此 认证 算法 也 可 以 是 “ 空 。 
虽然 加 密 和 认证 算法 都 可 为 “ 空 ”, 但 两 者 不 能 同时 为 “ 空 ”。 因 为 这 样 做 不 仅 毫 无 安全 
保证 可 言 ,而 且 也 为 系统 带 来 了 无 谓 的 负担 。 
5. ESP 处 理 
ESP 的 处 理 过 程 发 生 在 发 送 时 的 IP 分 割 之 前 以 及 接收 时 的 IP 重 新 组 合 之 后 。 
发 送 时 的 处 理 包 括 如 下 一 些 内 容 。 
。 ESP 头 定 位 : 在 传输 模式 下 ,ESP 头 插 在 IP 头 和 上 一 层 协议 头 之 间 ; 在 隧道 模式 
下 ,ESP 头 在 整个 源 IP 数据 项 之 前 。 

。 查找 : 只 有 当 与 此 会 话 相关 的 有 效 的 SA 存在 时 , 才 进 行 ESP 处 理 。 

。 包 加 密 : 把 数据 封装 到 ESP 的 有 效 负载 字段 ,在 传输 模式 下 ,只 封装 上 层 协议 数据 ; 
在 隧道 模式 下 、 封 装 整个 原 IP 数据 项 。 应 使 用 由 SA 指定 的 密 钥 和 加 密 算法 对 上 
述 结果 加 密 。 

接收 时 的 处 理 过 程 为 : 当 接 收 方 收 到 一 个 IP 数据 项 时 , 先 根据 包 中 目的 IP 地址 安全 
协议 ESP 和 SPI 查找 SA , 若 没有 用 于 此 会 话 的 SA 存在 , 则 接收 者 必须 丢弃 此 包 , 并 记 入 
日 志 ,和 否则 就 按 SA 中 指定 的 算法 进行 解密 并 重新 构造 原 IP 数据 项 格式 。 


7.4.4 IKE 协议 


两 台 IPSec 计算 机 在 交换 数据 之 前 ,必须 首先 建立 某 种 约定 。 这 种 约定 , 称 为 安全 关联 
(SA) , 指 双方 需要 就 如 何 保护 信息 ,交换 信息 等 公用 的 安全 设置 达成 一 致 。 因 此 必须 有 一 
种 方法 ,使 那 两 台 计算 机 安全 地 交换 一 套 密 钥 ,以 便 在 它们 的 连接 中 使 用 。Internet 工程 任 
务 组 (IETF) 制 定 的 安全 关联 标准 法 和 密 钥 交换 解决 方案 一 一 IKE(Internet 密 钥 交 换 ) 一 一 
协议 负责 这 些 任 务 。IKE 主要 完成 两 个 任务 : 一 是 安全 关联 的 集中 化 管理 ,以 减少 连接 时 
间 ; 二 是 密 钥 的 生成 和 管理 。 

实现 密 钥 管 理 的 机 制 有 很 多 ,包括 手工 密 钥 分 发 .通过 SNMP 的 MIB 变量 的 配置 等 。 
其 中 密 钥 交换 协议 IKE 以 其 高 度 的 自动 化 、 较 严密 的 信息 交换 保护 体系 ,以 及 丰富 灵活 的 
功能 集 , 在 众多 管理 机 制 中 脱颖而出 ,以 下 将 对 IKE 进行 介绍 。 

IKE 协议 是 IPSec 目前 唯一 的 ,正式 确定 的 密 钥 交换 协议 , 它 为 AH 和 ESP 提供 密 钥 
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交换 支持 ,同时 也 支持 其 他 机 制 , 加 密 钥 协 商 。IKE 是 IPSec 安全 关联 (SA) 在 协商 它们 的 
保护 套件 和 交换 签名 或 加 密 密 钥 时 所 遵循 的 机 制 , 它 定义 了 双方 交流 策略 信息 的 方式 和 构 
建 并 交换 身份 验证 消息 的 方式 。 

IKE 是 由 另外 3 种 协议 (ISAKMP .Oakley 和 SKEME) 混 合 而 成 的 一 种 协议 。 

其 中 ,ISAKMP 协议 (Internet Security Association and Key Management Protocol， 
Internet 安全 关联 和 密 钥 管 理 协议 ) 定 义 了 程序 和 信息 包 格 式 来 建立 .协商 、 修 改 和 删除 安 
全 关联 CSA)。SA 包括 了 各 种 网 络 安全 服务 执行 所 需 的 所 有 信息 ,这 些 安全 服务 包括 IP 层 
服务 (如 头 认证 和 负载 封装 )、 传 输 或 应 用 层 服务 ,以 及 协商 流量 的 自我 保护 服务 等 。 
ISAKMP 定义 包括 交换 密 钥 生 成 和 认证 数据 的 有 效 载荷 。 这 些 格 式 为 传输 密 钥 和 认证 数 
据 提 供 了 统一 框架 ,而 它们 与 密 钥 产生 技术 、 加 密 算 法 和 认证 机 制 相 独立 。ISAKMP 区 别 
于 密 钥 交换 协议 是 为 了 把 安全 连接 管理 的 细节 从 密 钥 交换 的 细节 中 彻底 的 分 离 出 来 。 不 同 
的 密 钥 交换 协议 中 的 安全 属性 也 是 不 同 的 。 然 而 ,需要 一 个 通用 的 框架 用 于 支持 SA 属性 
格式 ,用 于 谈判 .修改 与 删除 SA,ISAKMP 即 可 作为 这 种 框架 。 把 功能 分 离 为 3 部 分 增加 
了 一 个 完全 的 ISAKMP 实施 安全 分 析 的 复杂 性 。 然 而 在 有 不 同安 全 要 求 且 需 协 同 工 作 的 
系统 之 间 这 种 分 离 是 必需 的 ,而 且 还 应 该 使 对 ISAKMP 服务 器 更 深层 次 发 展 的 分 析 简 单 
化 。ISAKMP 支持 在 所 有 网 络 层 的 安全 协议 (如 IPSEC、TLS、TLSP、OSPF 等 ) 的 SA 协 
商 。ISAKMP 通过 集中 管理 SA 减少 了 在 每 个 安全 协议 中 重复 功能 的 数量 。ISAKMP 还 
能 通过 一 次 对 整个 栈 协议 的 协商 来 减少 建立 连接 的 时 间 。ISAKMP 中 ,解释 域 (DOI) 用 来 
组 合 相 关 协 议 ,通过 使 用 ISAKMP 协商 安全 连接 。 共 享 DOI 的 安全 协议 从 公共 的 命名 空 
间 选 择 安全 协议 和 加 密 转换 方式 ,并 共享 密 钥 交换 协议 标识 。 同 时 它们 还 共享 一 个 特定 
DOI 的 有 效 载荷 数据 目录 解释 ,包括 安全 连接 和 有 效 载荷 认证 。 

Oakley 和 SKEME 定义 了 通信 双方 建立 一 个 共享 的 验证 密 钥 所 必须 采取 的 步骤 。 
IKE 吸收 了 Oakley 和 SKEME 这 两 大 不 同 密 钥 交换 协议 的 优点 。Oakley 的 特色 是 描述 了 
一 系列 密 钥 交换 方法 ,起 名 为 “模式 ”(Modes) ; 而 SKEME 的 特色 是 描述 了 密 钥 分 类 、 可 信 
度 和 更 新 机 制 。 这 两 部 分 恰好 可 以 互补 ,因此 IPSec 工作 组 就 把 这 两 部 分 进行 了 有 机 的 组 
合 , 形 成 了 IKE。 

IKE 使 用 了 两 个 阶段 的 ISAKMP: 第 一 阶段 ,协商 创建 一 个 通信 信道 (IKE SA) ,并 对 
该 信道 进行 验证 ,为 双方 进一步 的 IKE 通信 提供 机 密 性 、 消 息 完 整 性 以 及 消息 源 验 证 服务 ; 
第 二 阶段 ,使 用 已 建立 的 IKE SA 建立 IPSec SA。 分 两 个 阶段 来 完成 这 些 服 务 有 助 于 提高 
密 钥 交换 的 速度 。 

第 一 阶段 协商 (也 称 为 主 模式 协商 ) 的 步骤 如 下 。 

(1) 策略 协商 。 在 这 一 步 中 ,就 4 个 强制 性 参数 值 进行 协商 。 

。 加 密 算法 : 选择 DES 或 3DES。 

。 Hash 算法 : 选择 MD5 或 SHA。 

。 认证 方法 : 选择 证 书 认证 、 预 置 共 享 密 钥 认证 或 Kerberos v5 认证 。 

。 Diffie-Hellman 组 的 选择 。 

(2) Diffie-Hellman(DH ) 交 换 。 

虽然 名 为 “ 密 钥 交换 ”, 但 事实 上 在 任何 时 候 ,两 台 通信 主机 之 间 都 不 会 交换 真正 的 密 
钥 , 它 们 之 间 交 换 的 只 是 一 些 DH 算法 生成 共享 密 钥 所 需要 的 基本 材料 信息 。Diffie- Hellman 
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算法 是 用 于 密 钥 交换 的 最 早 、 最 安全 的 算法 之 一 。DH 算法 的 基本 工作 原理 是 : 通信 双方 
公开 或 半 公 开交 换 一 些 准备 用 来 生成 密 钥 的 “材料 数据 ”, 在 彼此 交换 过 密 钥 生 成 “材料 ”后 ， 
两 端 可 以 各 自生 成 出 完全 一 样 的 共享 “ 主 密 钥 ”, 保 护 紧 接 其 后 的 认证 过 程 。 在 任何 时 候 , 双 
方 都 绝 不 交换 真正 的 密 钥 。 通 信 双 方 交 换 的 密 钥 生成 材料”, 长度 不 等 “材料 ”长 度 越 长 ， 
所 生成 的 密 钥 强 度 也 就 越 高 , 密 钥 破 译 就 越 困难 。 在 协商 过 程 中 ,对 等 的 实体 间 应 选择 同一 
个 DH 组 , 即 密 钥 “ 材 料 ” 长 度 应 该 相等 。 若 DH 组 不 匹配 ,将 视 为 协商 失败 。DH 交换 可 以 
是 公开 的 ,也 可 以 受 保护 。 

(3) 认证 。DH 交换 需要 得 到 进一步 认证 ,如 果 认 证 不 成 功 ,通信 将 无 法 继续 下 去 。 
“ 主 密 钥 ” 结 合 在 第 (1) 步 中 确定 的 协商 算法 ,对 通信 实体 和 通信 信道 进行 认证 。 在 这 一 步 
中 ,整个 待 认证 的 实体 载荷 ,包括 实体 类 型 .端口 号 和 协议 , 均 由 第 (2) 步 生成 的 “ 主 密 钥 ” 提 
供 机 密 性 和 完整 性 保证 。 

在 第 二 阶段 SA( 也 叫 快速 模式 SA ,为 数据 传输 而 建立 的 安全 关联 ) 中 ,协商 建立 IPSec 
SA ,为 数据 交换 提供 IPSec 服务 。 第 二 阶段 协商 消息 受 第 一 阶段 SA 保护 ,任何 没有 第 一 阶 
段 SA 保护 的 消息 将 被 拒 收 。 

第 二 阶段 协商 (快速 模式 协商 ) 的 步骤 如 下 。 

(1) 策略 协商 。 双 方 交换 保护 需求 。 

。 使 用 哪 种 IPSec 协议 : AH 或 ESP。 

。 使 用 哪 种 Hash 算法 : MD5 或 SHA。 

。 是 否 要 求 加 密 , 若 是 ,选择 加 密 算法 : 3DES 或 DES。 


在 上 述 三 方面 达成 一 致 后 ,将 建立 起 两 个 SA ,分别 用 于 入 站 和 出 站 通信 。 

(2) 会 话 密 钥 “材料 ”刷新 或 交换 。 在 这 一 步 中 ,将 生成 加 密 IP 数据 包 的 “会 话 密 钥 ”。 
生成 “会 话 密 钥 ”所 使 用 的 “材料 ”可 以 和 生成 第 一 阶段 SA 中 * 主 密 钥 ” 的 相同 ,也 可 以 不 同 。 
如 果 不 做 特殊 要 求 , 只 需要 刷新 "材料 ”后 ,生成 新 密 钥 即 可 。 若 要 求 使 用 不 同 的 “材料 ”, 则 
在 密 钥 生 成 之 前 ,首先 进行 第 2 轮 的 DH 交换 。 

(3) SA 和 密 钥 连 同 SPI, 被 递交 给 IPSec 驱动 程序 。 第 二 阶段 协商 过 程 与 第 一 阶段 协 
商 过 程 类 似 , 不 同 之 处 在 于 : 在 第 二 阶段 中 ,如 果 响 应 超时 , 则 自动 尝试 重新 进行 第 一 阶段 
SA 协商 。 

第 一 阶段 SA 建立 起 安全 通信 信道 后 保存 在 高 速 缓 存 中 ,在 此 基础 上 可 以 建立 多 个 第 
二 阶段 SA 协商 ,从 而 提高 整个 建立 SA 过 程 的 速度 。 只 要 第 一 阶段 SA 不 超时 ,就 不 必 重 
复 第 一 阶段 的 协商 和 认证 。 允 许 建立 的 第 二 阶段 SA 的 个 数 由 IPSec 策略 属性 决定 。 

由 IKE 建立 的 IPSec SA 有 时 也 会 为 密 钥 带 来 “完美 向 前 保密 (PFS)” 特 性 ,所 谓 PFS 
是 指 即使 攻击 者 破解 了 一 个 密 钥 ,也 只 能 还 原 这 个 密 钥 加 密 的 数据 ,而 不 能 还 原 其 他 的 加 密 
数据 。 要 达到 理想 的 PFS, 一 个 密 钥 只 能 用 于 一 种 用 途 , 生 成 一 个 密 钥 的 素材 也 不 能 用 来 生 
成 其 他 的 密 钥 。 我 们 把 采用 短暂 的 一 次 性 密 钥 的 系统 称 为 PFS。 

而 且 如 果 愿 意 ,也 可 使 通信 对 方 的 身份 具有 同样 的 特性 。 通 过 一 次 IKE 密 钥 交 换 , 可 
创建 多 对 IPSec SA。 正 是 由 于 提供 了 多 样 性 的 选择 , 才 使 IKE 既 具 有 广泛 的 包容 性 ,又 具 
有 高 度 的 复杂 性 。 
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7.5 PGP 


随 着 Internet 的 发 展 ,电子 邮件 作为 其 最 重要 的 应 用 之 一 ,也 得 到 了 越 来 越 广泛 的 应 
用 ,从 一 般 的 个 人 通信 手段 发 展 到 了 网 上 媒体 和 政务 /商务 等 重要 且 正 式 的 场合 。 因 此 电子 
邮件 的 安全 以 及 电子 邮件 系统 的 安全 性 也 得 到 了 越 来 越 多 的 关注 。 

电子 邮件 在 Internet 上 传输 ,从 一 台 计 算 机 传输 到 另 一 台 计 算 机 ,电子 邮件 所 经 过 的 网 
络 上 的 任意 一 个 系统 管理 员 或 黑客 都 可 能 截获 和 更 改 该 邮件 ,其 至 伪造 某 人 的 电子 邮件 。 
这 就 类 似 于 传统 的 邮政 系统 中 的 明信片 ,邮件 本 身 的 安全 性 需要 依赖 邮件 经 过 的 网 络 系统 
的 安全 性 和 管理 人 员 的 诚实 、 对 信息 的 漠不关心 。 

为 了 保证 电子 邮件 的 安全 ,首先 要 保证 邮件 不 被 无 关 的 人 窃取 或 更 改 , 同 时 接收 者 也 必 
须 能 确定 该 邮件 是 由 合法 发 送 者 发 出 的 。 因 此 针对 电子 邮件 采用 的 安全 技术 主要 是 加 密 技 
术 和 签名 技术 ,但 目前 还 没有 安全 电子 邮件 的 正式 标准 ,下 面 就 以 应 用 较为 广泛 的 PGP 协 
议 标准 为 例 来 进行 介绍 。 

PGP(Pretty Good Privacy ,相当 好 的 保密 ) 是 由 MIT 的 P. R. Zimmerrmann 提出 的 , 主 
要 用 于 安全 电子 邮件 , 它 可 以 对 通过 网 络 进行 传输 的 数据 创建 和 检验 数字 签名 、 加 密 、 解 密 
以 及 压缩 。 由 于 它 免费 供应 、 源 代码 完全 公开 ,并 可 在 MS-DOS、 Windows、 UNIX、 
Macintosh 等 多 种 平台 上 使 用 , 故 近年 来 得 到 了 广泛 使 用 。 

PGP 提供 5 个 方面 的 功能 : 鉴别 .机 密 性 、 压 缩 、E-mail 兼容 性 和 分 段 功能 ,如 表 7.1 
所 示 。 


表 7.1 PGP 的 功能 


功 能 使 用 的 算法 解释 说 明 
IDEA CAST 或 三 重 DES ,Diffie- 发 送 者 产生 一 次 性 会 话 密 铀 ,用 会 话 密 铀 以 IDEA、 
机 密 性 CAST 或 三 重 DES 加 密 消息 ,并 用 接收 者 的 公 钥 以 


Hellman 或 RSA 
Diffie-Hellman 或 RSA 加 密会 话 密 钥 


用 MD5 或 SHA 对 消息 散 列 ,并 用 发 送 者 的 私 钥 加 密 


签 别 RSA 或 DSS,MD5 或 SHA 


消息 摘要 
压缩 ZIP 使 用 ZIP 压缩 消息 ,以 便于 存储 和 传输 
a 对 E-mail 应 用 提供 透明 性 ,将 加 密 消 息 用 Radix64 变 
E-mail 兼容 性 | Radix64 交换 换 成 ASCIL 字符 串 
分 段 功 能 = 为 适应 最 大 消息 长 度 限制 ,PGP 实行 分 段 并 重组 


7.5.1 鉴别 


PGP 的 鉴别 服务 ,用 于 说 明 由 谁 发 来 的 报 文 且 只 能 由 他 发 出 。 
PGP 的 鉴别 操作 过 程 如 图 7. 15(a) 所 示 。 

其 中 ,图 7.15 中 的 参数 的 含义 如 下 所 示 。 

。 Ks: 会 话 钥 。 

。 Kra: 用 户 A 的 私 钥 。 
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Kua: 用 户 A 的 公 钥 。 

。 EP: 公 钥 加 密 。 

。 DP: 公 钥 解密 。 

。 EC: 常规 加 密 。 

。 DC: 常规 解密 。 

。 互 : 散 列 函数 。 

党 | : 连接 。 

。2Z: 用 ZIP 算法 进行 数据 压缩 。 

。 2Z : 解压 缩 。 

。 R64: 用 Radix64 转换 到 ASCII 格式 。 


发 送 者 A 


(c) 鉴别 性 与 机 密 性 
图 7.15 ”PGP 的 操作 过 程 


PGP 鉴别 的 过 程 可 描述 如 下 。 

。 发 送 者 产生 消息 M。 

。 用 SHA-1 对 M 生 成 一 个 160 位 的 散 列 码 互 。 

。 五 用 发 送 者 的 私 钥 加 密 , 并 与 M 连接 。 

。 接收 者 用 发 送 者 的 公 钥 解密 并 恢复 散 列 码 五 。 

。 对 消息 M 生成 一 个 新 的 散 列 码 , 与 互 比较 。 如 果 一 致 , 则 消息 M 被 认证 , 即 报 文 作 
为 已 鉴别 的 报 文 而 接受 (提供 DSS/SHA-1 可 选 奉 代 方 案 和 签名 与 消息 分 离 的 
支持 ) 。 
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7.5.2 机 密 性 


PGP 提供 的 另 一 个 基本 服务 是 机 密 性 , 它 是 通过 对 将 要 传输 的 报 文 或 者 将 要 像 文件 一 
样 存储 在 本 地 的 报 文 进 行 加 密 来 提供 这 一 基本 服务 的 ( 见 图 7.15(b))。 

PGP 加 解密 采用 CAST-128( 或 IDEA 或 3DES) 64 位 CFB 方 式 。 总 要 面 对 密 钥 分 配 
问题 。 在 PGP 中 ,每 个 常规 密 钥 只 使 用 一 次 , 即 对 每 个 报 文生 成 新 的 128 位 的 随机 数 。 因 
此 ,尽管 在 文档 中 这 个 密 钥 被 称 为 会 话 密 钥 , 实 际 上 它 是 一 次 性 密 钥 。 因 为 只 被 使 用 一 次 ， 
所 以 会 话 密 钥 与 报 文 绑 定 在 一 起 并 和 报 文 一 起 传输 。 为 了 保护 密 钥 ,将 使 用 接收 者 的 公开 
密 钥 对 它 进行 加 密 。 其 过 程 如 下 : 

。 发送 者 生成 消息 M 并 为 该 消息 生成 一 个 128 位 的 随机 数 作为 会 话 密 钥 。 

。 使 用 会 话 密 钥 .CAST-128 算法 (或 IDEA 或 3DES) 对 消息 M 进行 加 密 。 

。 会 话 密 钥 用 RSA 及 接收 者 的 公 钥 加 密 并 与 消息 M 结合 (也 可 用 Diffie-Hellman 

算法 )。 

。 接收 者 用 自己 的 私 钥 解 密 恢复 会 话 密 钥 。 

。 用 会 话 密 钥 解 密 恢复 消息 M。 

PGP 结合 了 常规 密 钥 加 密 和 公开 密 钥 加 密 算法 ,一 是 时 间 上 的 考虑 ,对 称 加 密 算法 比 
公开 密 钥 加 密 速度 快 很 多 倍 ; 二 是 公开 密 钥 解决 了 会 话 密 钥 分 配 问题 ,因为 只 有 接收 者 才 
能 用 私有 密 钥 解 密 一 次 性 会 话 密 钥 。PGP 巧妙 地 将 常规 密 钥 加 密 和 公开 密 钥 加 密 结合 
来 ,从 而 使 会 话 安 全 得 到 保证 。 


7.5.3 鉴别 与 机 密 性 


PGP 可 以 同时 提供 机 密 性 与 鉴别 。 当 加 密 和 认证 这 两 种 服务 都 需要 时 ,发 送 者 先 用 自 
己 的 私 钥 签 名 ,然后 用 会 话 密 钥 加 密 , 再 用 接收 者 的 公 钥 加 密会 话 密 钥 ( 见 图 7. 15(c))。 在 
这 里 要 注意 次 序 , 如 果 先 加 密 再 签名 的 话 , 别 人 可 以 将 签名 去 掉 后 签 上 自己 的 签名 ,从 而 自 
改 签名 。 


7.5.4 压缩 


PGP 对 报 文 进行 压缩 ,这 有 利于 在 电子 邮件 传输 和 文件 存储 时 节省 空间 。 但 压缩 算法 
的 放置 位 置 比较 重要 ,在 默认 的 情况 下 , 放 在 签名 之 后 加 密 之 前 。 

在 压缩 之 前 生成 签名 有 如 下 两 个 理由 。 

(1) 对 没有 经 过 压缩 的 报 文 进行 签名 更 好 些 。 这 样 ,为 了 将 来 的 验证 就 只 需要 存储 没 
压缩 的 报 文 和 签名 。 如 果 对 压缩 文档 签名 ,那么 为 了 将 来 的 验证 就 必须 存储 压缩 过 的 报 文 ， 
或 者 在 需要 验证 时 更 新 压缩 报 文 。 

(2) 即使 个 人 愿意 在 验证 时 动态 生成 重新 压缩 的 报 文 ,PGP 的 压缩 算法 也 存在 问题 。 
算法 不 是 固定 的 ,算法 的 不 同 实现 在 运行 速度 和 压缩 比 上 进行 不 同 的 折 中 ,因此 产生 了 不 同 
的 压缩 形式 。 但 是 ,这 些 不 同 的 压缩 算法 是 可 以 互 操作 的 ,因为 任何 版 本 的 算法 都 可 以 正确 
地 解压 其 他 版 本 的 输出 。 如 果 在 压缩 之 后 应 用 散 列 函数 和 签名 ,将 约束 所 有 的 PGP 实现 都 
使 用 同样 的 压缩 算法 。 

另外 ,在 压缩 之 后 对 报 文 加 密 可 以 加 强加 密 的 强度 。 因 为 压缩 过 的 报 文 比 原始 明文 元 
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余 更 少 ,密码 分 析 更 加 困难 。 
7.5.5 E-mail 兼容 性 


当 使 用 PGP 时 ,至 少 传输 报 文 的 一 部 分 需要 被 加 密 。 如 果 只 使 用 签名 服务 ,那么 报 文 
摘要 被 加 密 ( 使 用 发 送 者 的 私有 密码 )。 如 果 使 用 机 密 性 服务 , 报 文 加 上 签名 (如 果 存在 ) 要 
被 加 密 ( 使 用 一 次 性 的 对 称 密码 ) 。 因 此 ,部 分 或 全 部 的 结果 报 文 由 任意 的 8 位 二 进 制 流 组 
成 。 但 是 ,很 多 电子 邮件 系统 只 允许 使 用 ASCII 文本 。 为 了 满足 这 一 约束 ,PGP 提供 了 将 
原始 8 位 二 进 制 流转 换 成 可 打印 的 ASCII 字符 的 服务 。 

为 实现 这 一 目的 采用 的 方案 是 Radix64 转换 ,每 3 个 字 节 的 二 进 制 数据 为 一 组 映射 成 
4 个 ASCII 字 符 。 这 种 格式 附加 了 CRC 校 验 来 检测 传输 错误 ,使 得 Radix64 将 报 文 的 长 度 
扩充 了 33%% 。 幸 运 的 是 报 文 的 会 话 密 钥 和 签名 部 分 相对 紧凑 ,并 且 明 文 报 文 已 经 进行 了 压 
缩 ,实际 上 压缩 足以 补偿 Radix64 的 扩展 。 因 此 ,整体 压缩 比 仍然 可 以 达到 三 分 之 一 。 

Radix64 算法 的 一 个 值得 注意 的 方面 是 它 将 输入 流转 换 成 Radix64 的 格式 时 ,并 不 管 
输入 流 的 内 容 , 即 使 输入 流 正 好 是 ASCII 正文 。 因 此 ,如 果 报 文 被 签名 但 还 没有 被 加 密 ,并 
且 对 整个 分 组 应 用 上 述 转换 ,输出 的 结果 对 于 偶然 的 观察 者 将 是 不 可 读 的 ,这 提供 了 一 定 程 
度 的 机 密 性 。 作 为 选项 ,PGP 可 以 配置 成 只 将 签名 的 明文 报 文 的 签名 部 分 转换 成 Radix64 
的 格式 ,这 可 以 使 得 接收 报 文 的 人 不 使 用 PGP 就 能 阅读 报 文 。 当 然 ,必须 使 用 PGP 才能 验 
证 签名 。 


7.5.6 分 段 与 重组 


电子 邮件 设施 经 常 受 限于 最 大 的 报 文 长 度 ,例如 最 大 50KB 的 限制 。 任 何 长 度 超过 这 
个 数值 的 报 文 都 必须 划分 成 更 小 的 报 文 段 ,每 个 段 被 单独 发 送 。 

为 了 满足 这 个 约束 ,PGP 自动 将 过 长 的 报 文 划分 成 可 以 使 用 电子 邮件 发 送 的 足够 小 的 
报 文 段 。 分 段 是 在 所 有 其 他 的 处 理 ( 包 括 Radix64 转换 ) 完 成 之 后 才 进 行 的 ,因此 会 话 密 钥 
部 分 和 签名 部 分 只 在 第 一 个 报 文 段 的 开始 位 置 出 现 一 次 : 在 接收 端 ,PGP 将 各 段 自 动 重新 
装配 成 完整 的 原来 的 分 组 。 


7.5.7 ”PGP 密 钥 管理 


在 PGP 里 面 , 最 有 特色 的 或 许 就 是 它 的 密 钥 管理 。PGP 包含 4 种 密 钥 : 一 次 性 会 话 密 
钥 . 公 开 密 钥 , 私 有 密 钥 和 基于 密码 短语 的 常规 密 钥 。 

在 用 户 使 用 PGP 时 ,应 该 首先 生成 一 个 公开 密 钥 /私有 密 钥 对 。 其 中 公开 密 钥 可 以 公 
开 , 而 私有 密 钥 绝对 不 能 公开 。PGP 将 公开 密 钥 和 私有 密 钥 用 两 个 文件 存储 ,一 个 用 来 存 
储 该 用 户 的 公开 /私有 密 钥 , 称 为 私有 密 钥 环 ; 另 一 个 用 来 存储 其 他 用 户 的 公开 密 钥 , 称 为 
公开 密 钥 环 。 

为 了 确保 只 有 该 用 户 可 以 访问 私有 密 钥 环 ,PGP 采用 了 比较 简洁 和 有 效 的 算法 。 当 用 
户 使 用 RSA 生成 一 个 新 的 公开 /私有 密 钥 对 时 ,输入 一 个 密码 短语 ,然后 使 用 散 列 算法 ( 例 
如 SHA-1) 生 成 该 密码 的 散 列 编码 ,将 其 作为 密 钥 ,采用 CAST-128 等 常规 加 密 算 法 对 私有 
密 钥 加 密 ,存储 在 私有 密 钥 环 中 。 当 用 户 访问 私有 密 钥 时 ,必须 提供 相应 的 密码 短语 ,然后 
PGP 根据 密码 短语 获得 散 列 编码 ,将 其 作为 密 钥 ,对 加 密 的 私有 密 钥 解密 。 通 过 这 种 方式 ， 
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就 保证 了 系统 的 安全 性 依赖 于 密码 的 安全 性 。 

双方 使 用 一 次 性 会 话 密 钥 对 每 次 会 话 内 容 进行 加 解密 。 这 个 密 钥 本 身 是 基于 用 户 鼠 标 
和 键盘 击 键 时 间 而 产生 的 随机 数 。 

注意 : 每 次 会 话 的 密 钥 均 不 同 。 这 个 密 钥 经 过 RSA 或 Diffie-Hellman 加 密 后 和 报 文 
一 起 传送 到 对 方 。 

下 面 介绍 PGP 的 公开 密 钥 管 理 。 假 设 A 想 要 获得 B 的 公开 密 钥 ,可 以 采取 几 种 方法 ， 
包括 复制 给 A、 通 过 电话 验证 公开 密 钥 是 否 正确 、 从 双方 都 信任 的 人 C 那里 获得 ,从 认证 中 
心 获得 等 。 PGP 并 没有 建立 认证 中 心 这 样 的 概念 , 它 采 用 信任 机 制 。 公 开 密 钥 环 上 的 每 个 
实体 都 有 一 个 密 钥 合法 性 字段 ,用 来 标识 信任 程度 。 信 任 级 别 包 括 完全 信任 、 少 量 信任 、 不 
可 信任 ,不 认识 的 信任 等 。 当 新 来 一 个 公开 密 钥 时 ,根据 上 面 附加 的 签名 来 计算 信任 值 的 权 
重 和 ,以 确定 信任 程度 。 

在 实际 应 用 中 ,所 有 PGP 用 户 可 以 签发 各 自 的 PGP 证书, 通常 是 由 许多 公认 的 个 人 来 
签发 证 书 , 形 成 一 个 非 正式 的 信任 网 ,要 与 一 个 用 户 建立 信任 关系 ,就 必须 信任 为 此 用 户 签 
发 证 书 的 人 , 它 只 适合 于 小 规模 的 用 户 群 体 。 


7.6 关键 术语 


密 钥 分 配 中 心 (Key Distribution Center,KDC) 
访问 许可 证 (Ticket) 

认证 符 (Cator) 

安全 套 接 字 层 (Secure Socket Layer,SSL) 
IPSec 安全 协议 (IP Security Protocol) 
安全 关联 (Security Association,SA) 
传输 模式 (Transport Mode) 
隧道 模式 (Tunneling Mode) 


7.7 习题 7 


简 述 Kerberos 的 基本 工作 过 程 。 

简 述 SSL 握手 的 过 程 。 

在 IPSec 中 ,ESP 和 AH 分 别 有 什么 作用 ? 

AH 的 传输 模式 与 隧道 模式 有 何 区 别 ? 

ESP 的 传输 模式 与 隧道 模式 有 何 区 别 ? 

电子 邮件 存在 哪些 安全 性 问题 ? 

PGP 加 密 电子 邮件 时 ,邮件 的 主题 和 附件 是 否 被 加 密 ? 


A 
I 
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本 章 导 读 

> 公 负 基础 设施 是 利用 公 钥 密码 理论 和 技术 建立 的 .提供 安全 服务 的 基础 设施 ,用 于 
创建 ,管理 .存储 、 分 发 和 撤销 数字 证 书 的 一 套 体系 。PKI 是 目前 网 络 安全 建设 的 基 
础 与 核心 ,是 电子 商务 等 网 络 应 用 的 安全 实施 的 基本 保障 。 它 能 为 各 种 不 同安 全 需 
求 的 用 户 提供 多 种 安全 服务 ,包括 身份 认证 ,数据 保密 性 、 数 据 完整 性 、 不 可 否认 性 、 
时 间 惟 服务 等 。 

> 公 铀 证 书 是 将 公 钥 信息 和 公 钥 持 有 人 进行 绑 定 的 一 个 载体 ,也 称 公 铀 证 书 , 它 由 权 
威 机 构 (CA) 采 用 数字 签名 技术 ,颁发 给 用 户 , 用 以 证 明 用 户 身份 的 一 种 数字 凭证 。 

> X.509 定义 了 公 铀 证 书 的 格式 ,PKI 实现 中 使 用 了 X. 509 的 认证 格式 。 

> 作为 一 种 基础 设施 ,PKI 的 应 用 范围 非常 广泛 ,并 且 在 不 断 发 展 之 中 ,包括 Web 安 
全 通信 、 电 子 邮件 和 虚拟 私有 网 (VPN) 等 。 


随 着 网 络 技 术 和 信息 技术 的 发 展 ,各 种 网 络 应 用 蓬勃 发 展 ,特别 是 电子 商务 、 电 子 政务 
等 应 用 已 逐步 被 人 们 所 接受 ,并 在 得 到 不 断 普 及 。 这 些 网 络 应 用 中 的 信息 安全 问题 则 成 为 
重 中 之 重 , 必 须 从 技术 上 保证 在 网 上 交易 过 程 中 能 够 实现 身份 认证 和 识别 ; 网 上 的 交易 
信息 的 私密 性 需要 得 到 保护 ,提供 交易 信息 的 完整 性 、 交 易 中 各 方 对 交易 操作 的 不 可 否 
认 性 。 

数字 证 书 认 证 体系 技术 能 有 效 地 解决 上 述 安全 要 求 ,因此 在 国内 外 电子 商务 中 ,都 得 到 
了 广泛 的 应 用 。 将 数字 证 书 的 使 用 和 管理 作为 核心 的 公 钥 基础 设施 (Public Key 
Infrastructure, PKD) 成 为 目前 网 络 安全 建设 的 基础 与 核心 ,是 电子 商务 等 应 用 安全 实施 的 
基本 保障 ,对 PKI 技 术 的 研究 和 开发 成 为 目前 信息 安全 领域 的 热点 。 


8.1 理论 基础 


PKI 是 利用 公 钥 密码 理论 和 技术 为 网 络 安 全 应 用 提供 安全 服务 的 基础 设施 ,不 针对 任 
何 一 种 具体 的 网 络 应 用 ,但 它 提 供 了 一 个 基础 平台 ,并 提供 了 友好 的 接口 。PKI 采 用 数字 证 
书 对 公 钥 进行 管理 ,通过 第 三 方 的 可 信任 机 构 ( 认 证 中 心 , 即 CA), 把 用 户 的 公 钥 和 用 户 的 
其 他 标识 信息 捆绑 在 一 起 ,如 用 户 名 和 电子 邮件 地 址 等 信息 ,以 在 Internet 上 验证 用 户 的 身 
份 。 任 何 应 用 或 者 用 户 只 需要 知道 如 何 接 入 PKI 获得 服务 ,其 提供 的 安全 服务 对 于 用 户 是 
透明 的 。 简 单 来 说 ,PKI 的 主要 目的 是 通过 自动 管理 密 钥 和 证 书 ,为 用 户 建立 起 一 个 安全 的 
网 络 运 行 环境 ,使 用 户 可 以 在 多 种 应 用 环境 下 方便 地 使 用 加 密 、 数 字 签 名 技术 等 多 种 密码 技 
术 , 从 而 保证 Internet 上 数据 的 安全 性 。 

作为 安全 的 基础 设施 ,PKI 需要 提供 的 是 基础 服务 。 安 全 基础 设施 就 是 为 整个 应 用 组 
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织 提供 安全 的 基本 框架 ,可 以 被 组 织 中 任何 需要 安全 的 应 用 和 对 象 使 用 。 安 全 基础 设施 的 
“ 接 人 点 "必须 是 统一 的 ,便于 使 用 的 (就 像 墙 上 的 电源 插座 一 样 )。 安 全 基础 设施 的 主要 目 
标 就 是 实现 “应 用 支撑 ”的 功能 。 从 某 种 意义 上 说 ,电力 系统 就 是 一 个 应 用 支撑 , 它 可 以 让 
“应 用 ”( 如 电灯 ) 正 常 地 工作 。 进 一 步 地 讲 , 由 于 电力 基础 设施 具有 通用 性 和 实用 性 的 特点 ， 
使 它 能 支撑 新 的 “应 用 ”"。 因 此 , 公 钥 基础 设施 为 了 能 够 提供 让 应 用 程序 增强 自己 的 数据 和 
资源 的 安全 的 一 个 基础 平台 ,应 该 提供 像 将 电器 设备 插入 墙 上 的 插座 一 样 简单 .易于 使 用 的 
接口 ; 基础 设施 提供 的 服务 是 可 预测 且 有 效 的 ; 上 层 应 用 无 须 了 解 基础 设施 如 何 提供 服务 
即 可 有 效 地 使 用 其 提供 的 安全 服务 。 
下 面 我 们 将 首先 介绍 PKI 中 涉及 的 安全 服务 概念 和 密码 技术 。 


8.1.1 网 络 安全 服务 


ITU-T 推荐 方案 X. 800, 即 OSI 安全 框架 ,对 安全 框架 给 出 了 一 种 概念 上 的 定义 。 这 
个 框架 是 作为 国际 标准 而 开发 的 ,所 以 计算 机 和 通信 商 已 经 在 他 们 的 产品 和 服务 中 提供 了 
这 些 安全 特性 ,这 些 产品 和 服务 与 安全 服务 和 安全 机 制 的 结构 化 定义 相互 关联 。OSI 对 安 
全 攻击 、 安 全 机 制 和 安全 服务 都 给 出 了 定义 。 

网 络 攻 击 ( 或 称 网 络 威胁 ) 分 为 被 动 攻击 和 主动 攻击 。 被 动 攻击 主要 指 消息 内 容 的 泄 
露 , 即 信息 被 泄露 或 透露 给 某 个 非 授 权 实体 ,这 种 信息 泄露 主要 是 来 自 于 攻击 者 对 网 络 通信 
进行 窃听 流量 分 析 等 信息 探测 攻击 。 即 使 使 用 了 加 密 机 制 的 消息 ,攻击 者 也 可 能 会 获得 某 
种 消息 模式 ,用 以 确定 通信 实体 的 身份 和 位 置 ,获取 消息 的 频率 、 长 度 等 。 主 动 攻击 主要 指 
对 信息 的 修改 和 伪造 ,包括 如 下 内 容 。 
伪造 : 攻击 者 假冒 某 个 实体 ,或 者 伪造 某 个 消息 ,如 获取 认证 信息 并 在 一 段 时 间 之 
后 重 放 该 认证 信息 以 欺骗 合法 方 。 以 破坏 身份 的 认证 性 。 
重 放 : 将 消息 截获 后 再 次 发 送 以 产生 非 授权 的 效果 。 以 破坏 消息 的 认证 性 。 
消息 算 改 : 破坏 消息 的 完整 性 ,修改 合法 消息 的 一 部 分 或 延迟 消息 的 传输 或 改变 消 
息 的 顺序 以 获得 非 授权 的 效果 。 
拒绝 服务 攻击 : 阻止 或 禁止 对 通信 设施 的 正常 使 用 和 管理 ,使 得 信息 或 资源 的 合法 
访问 被 无 条 件 拒 绝 。 


为 了 防止 上 述 安全 威胁 ,加 强 数 据 处 理 系统 和 信息 传输 的 安全 性 的 一 种 处 理 过 程 或 通 
信服 务 被 称 为 安全 服务 ,其 目的 在 于 使 用 一 种 或 多 种 安全 机 制 进行 反攻 击 。X. 800 将 安全 
服务 定义 为 通信 开发 系统 协议 层 提供 的 服务 ,从 而 保证 系统 或 数据 传输 有 足够 的 安全 性 ,并 
将 服务 进行 了 分 类 ,这 里 我 们 给 出 和 PKI 相 关 的 安全 服务 类 型 。 

。 认 证 性 : 认证 服务 与 保证 通信 的 真实 性 有 关 。 认 证 服务 向 接收 方 保证 消息 来 自 于 

所 声称 的 发 送 方 。 认 证 性 包括 实体 认证 和 数据 源 认 证 。 实 体 认证 是 用 于 逻辑 连接 
时 为 通信 的 实体 之 间 提 供 身份 可 信人 性 认证 ; 数据 源 认 证 指 的 是 在 无 连接 传输 时 保 
证 收 到 的 消息 来 源 是 其 所 声称 的 来 源 。 

。 数据 保密 性 : 防止 传输 的 信息 受到 被 动 攻击 ,这 包括 信息 内 容 的 泄露 ,以 及 流量 攻 

击 , 这 会 使 得 攻击 者 无 法 获得 与 消息 相关 的 信息 ,如 消息 的 源 、 宿 .长度 等 信息 。 
* 数据 完整 性 : 保证 消息 在 通信 中 没有 被 攻击 者 算 改 。 处 理 消息 流动 面向 连接 的 完 
整 性 服务 用 于 保证 收 到 的 消息 和 发 出 的 消息 一 致 ,没有 被 复制 .插入 修改、 更 改 顺 
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序 或 重 放 。 无 连接 的 完整 性 服务 ,仅仅 防止 对 单条 消息 的 修改 ,而 不 管 大 量 的 上 下 
文 信息 。 

。 不 可 否认 性 : 防止 信息 发 送 方 或 接收 方 否认 传输 或 接受 过 某 条 消息 。 当 消息 发 出 
后 ,接收 方 可 以 证 明 消 息 确实 由 声称 的 发 送 方 发 出 ; 当 消 息 接收 后 ,发 送 方 能 证 明 
消息 确实 由 声称 的 接收 方 收 到 。 

。 访问 控制 : 限制 和 控制 通过 通信 连接 对 主机 和 应 用 进行 存 取 的 能 力 。 每 个 试图 获 
得 访问 控制 的 实体 必须 被 识别 或 认证 后 才能 获得 相应 的 存 取 权 限 。 


8.1.2 密码 技术 


虽然 PKI 是 基于 公 钥 密码 体制 的 ,但 是 其 实现 和 上 层 应 用 综合 使 用 了 其 他 多 种 密码 技 
术 , 包 括 对 称 和 非 对 称 加 /解密 ,数字 签名 、 消 息 认证 码 、 散 列 函 数 、 数 字 证 书 、 数 字 信 封 .双重 
数字 签名 等 。 

1. 对 称 和 非 对 称 加 /解密 

对 称 加 密 机 制 也 称 单 钥 密码 技术 , 即 加 密 密 钥 和 解密 密 钥 是 相同 的 。 对 称 密码 加 密 机 
制 的 特点 是 : 保密 性 好 、 计 算 效 率 高 ,处理 速度 快 ,适合 于 大 数据 量 的 加 /解密 。 但 缺点 是 : 
对 于 密 钥 的 分 发 管理 困难 。 

非 对 称 密 码 体制 也 称 为 公 钥 密码 体制 或 双 钥 密码 体制 , 它 不 仅 可 以 提供 加 /解密 功能 ， 
还 可 以 实现 数字 签名 。 密 码 机 制 中 使 用 一 对 密 钥 : 一 个 可 以 公开 , 称 为 公 钥 ; 一 个 由 用 户 
秘密 保存 , 称 为 私 钥 。 公 钥 和 私 钥 是 不 同 的 ,上 且 从 公 钥 推出 私 钥 在 计算 上 是 不 可 行 的 ,这 是 
非 对 称 密码 机 制 的 基本 安全 要 求 之 一 。 非 对 称 密码 机 制 的 特点 是 : 便于 密 钥 的 分 发 管理 、 
可 以 实现 数字 签名 。 缺 点 是 : 计算 效率 低 ,不 适合 大 数据 量 的 处 理 。 

因此 ,对 称 加 密 和 非 对 称 加 密 虽 然 都 可 以 提供 加 /解密 功能 ,但 是 在 实际 应 用 中 ,彼此 并 
不 能 完全 替代 ,通常 采用 混合 使 用 的 模式 ,重复 发 挥 两 种 密码 机 制 的 特点 ,如 使 用 非 对 称 密 
码 机 制 交换 对 称 会 话 密 钥 或 短 的 认证 信息 ,使 用 对 称 密 码 机 制 加 密 大 数据 量 的 消息 。 

2. 消息 认证 码 与 散 列 函数 

消息 认证 码 是 保证 数据 完整 性 的 加 密 技术 , 它 使 用 密 钥 对 消息 进行 加 密 处 理 , 生 成 一 段 
短 数据 块 , 作 为 消息 的 认证 码 ,这 个 认证 码 和 消息 的 每 一 位 都 相关 ,原始 消息 的 任何 一 位 的 
修改 都 会 反映 到 这 小 段 数据 上 。 因 此 , 它 可 以 用 来 判断 原 数据 是 否 被 复 改 。PKI 中 广泛 地 
使 用 了 消息 认证 码 技术 ,从 而 提供 数据 的 完整 性 服务 。 

散 列 函 数 和 消息 认证 码 函 数 功 能 类 似 ,也 是 对 消息 产生 一 段 短 的 数据 块 ,作为 和 原始 消 
息 相 关 的 认证 信息 ,但 不 同 的 是 , 散 列 函数 不 使 用 密 钥 信息 。 这 就 意味 着 它 的 使 用 和 消息 认 
证 码 函 数 不 同 。 在 PKI 中 , 散 列 函数 通常 和 非 对 称 密码 机 制 结合 使 用 ,用 来 实现 数字 签名 。 

3. 数字 签名 

数字 签名 是 PKI 中 提供 的 典型 应 用 , 它 基 于 非 对 称 密码 机 制 实现 ,使 用 签名 私 钥 对 消 
息 进行 签名 处 理 , 得 到 一 段 信息 和 原 消息 一 起 发 送 或 存放 ,实现 和 现实 中 类 似 的 手写 签名 一 
样 的 效果 。 任 何 具有 签名 者 的 公 钥 的 人 或 实体 都 可 以 对 消息 的 签名 进行 验证 ,判断 其 签名 
的 合法 性 。 数 字 签 名 可 以 提供 身份 认证 ,数据 完整 性 ,不 可 否认 性 等 安全 服务 。 
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根据 非 对 称 密码 体制 的 特点 ,数字 签名 在 应 用 中 的 实现 主要 有 两 种 形式 。 

(1) 直接 使 用 签名 私 钥 进 行 数字 签名 : 这 种 方式 适合 于 对 数据 量 小 的 信息 进行 签名 。 

(2) 结合 散 列 函数 实现 数字 签名 : 这 种 方式 适合 对 数据 量 大 的 信息 进行 签名 。 首 先 对 
被 签名 的 消息 计算 散 列 值 ,然后 使 用 私 钥 对 消息 散 列 值 而 不 是 直接 对 消息 进行 签名 。 验 证 
者 收 到 消息 及 签名 后 ,首先 使 用 散 列 函数 计算 出 所 收 到 的 消息 的 散 列 值 ,然后 使 用 公 钥 对 该 
散 列 值 以 及 收 到 的 数字 签名 进行 验证 。 

4. 数字 信封 

所 谓 数字 信封 ,就 是 消息 发 送 方 用 接收 方 的 公 钥 ,对 本 次 会 话 的 对 称 会 话 密 钥 进行 加 
密 , 同 时 使 用 这 个 对 称 密 钥 对 传输 的 其 他 消息 进行 加 密 , 然 后 将 这 两 部 分 密 文 都 传送 给 接收 
方 。 接 收 方 收 到 两 段 密 文 后 ,首先 是 要 通过 自己 的 私 钥 解密 得 到 对 称 密 钥 ,然后 使 用 对 称 密 
钥 解密 另外 一 段 密 文 。 其 中 发 送 方 对 于 对 称 密 钥 的 加 密 处 理 得 到 的 密 文 , 就 好 像 是 将 钥匙 
放 在 一 个 信封 中 传送 给 接收 方 ,因此 称 为 数字 信封 。 数 字 信封 是 PKI 中 对 于 加 密 、 数 字 签 
名 和 散 列 函数 的 综合 使 用 ,是 比较 常用 的 一 种 技术 。 

数字 信封 的 具体 操作 如 图 8. 1 所 示 。 

发 送 者 A 接收 者 B PUA 


二 给 证 结果 


PRA 


图 8.1 数字 信封 


(1) 首先 发 生 方 A 对 消息 M 计算 散 列 值 。 

(2) A 使 用 自己 的 私 钥 PRA 对 散 列 值 进行 签名 ,得 到 对 消息 的 数字 签名 。 

(3) A 将 消息 明文 ,数字 签名 和 自己 的 公 钥 PU。 ,使 用 对 称 密 钥 K 进行 加 密 处 理 , 得 到 
密 文 E。 

(4) A 使 用 接收 方 的 公 钥 PUs 对 于 K 进行 加 密 处 理 , 形 成 一 个 数字 信封 。 

(5) A 将 第 (3) 步 中 得 到 的 密 文 和 第 (4) 步 中 得 到 的 数字 信封 ,发 送 给 B。 

(6) B 收 到 消息 后 ,要 用 自己 的 私 钥 PRs 对 数字 信封 进行 解密 ,获得 对 称 密 钥 K。 

(7) B 使 用 K 对 密 文 E 进行 解密 得 到 消息 原文 ,数字 签名 和 A 的 公 钥 信息 。 

(8) B 使 用 散 列 函 数 计算 消息 原文 的 散 列 值 。 

(9) B 使 用 公 钥 PUA 验证 对 散 列 值 的 数字 签名 是 否 合法 。 

5. 双重 数字 签名 

所 谓 双 重 签名 ,是 指 发 送 者 需要 发 送 两 组 相关 的 信息 给 接收 者 ,对 这 两 组 相关 信息 , 接 
收 者 只 能 解读 其 中 的 一 组 ,而 另 一 组 只 能 直接 转发 给 第 三 方 接收 者 。 这 种 应 用 中 使 用 的 两 
组 数字 签名 称 为 双重 数字 签名 。 

数字 签名 在 SET 协议 中 的 一 个 重要 应 用 就 是 双重 签名 。 在 交易 中 持 卡 人 发 往 银 行 的 
支付 指令 是 通过 商家 转发 的 ,为 了 避免 在 交易 的 过 程 中 商家 窃取 持 卡 人 的 信用 卡 信息 , 以 及 
避免 银行 跟踪 持 卡 人 的 行为 ,侵犯 消费 者 隐私 ,但 同时 又 不 能 影响 商家 和 银行 对 持 卡 人 所 发 
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信息 的 合理 的 验证 ,只 有 当 商 家 同意 持 卡 人 的 购买 请 求 后 , 才 会 让 银行 给 商家 付费 ,SET 协 
议 采用 双重 签名 来 解决 这 一 问题 。 


8.2 PKI 的 组 成 


PKI 是 利用 公 钥 密码 技术 来 实现 并 提供 信息 安全 服务 的 基础 设施 , 它 能 够 为 所 有 网 
络 应 用 透明 的 提高 加 密 、 数 字 签名 等 密码 服务 所 需要 的 密 钥 和 证 书 管理 。PKI 在 实际 应 
用 上 是 一 套 软 硬件 系统 和 安全 策略 的 集合 , 它 提供 了 一 整套 安全 机 制 ,使 用 户 在 不 知道 
对 方 身份 或 分 布地 很 广 的 情况 下 ,以 证 书 为 基础 ,通过 一 系列 的 信任 关系 进行 通信 和 电 
子 商 务 交易 。 一 个 典型 的 PKI 系统 如 图 8.2 和 图 8. 3 所 示 , 其 中 包括 PKI 策略 、 软 硬件 
系统 、 认 证 机 构 (CA)、 注 册 机 构 (Register Authority, RA)、 证 书 发 布 系统 、PKI 应 用 接 
口 等 。 


1 
| [证 书 机 构 | 【注册 机 构 | 【证 书 发 布 系统 | ! 
1 1 
Ws ER Tl 
1 [PKI 策略 软 硬 件 系统 | ! 
1 1! 


8.2 一 个 典型 的 PKI 系统 的 组 成 


证 
NE Te 
[eA 提 | 
E 1 
昌 1 服 己 服 | 
用 1 荔 B 各 1 
户 RA | 需 名 | 
1 
1 
ss 四 | | | 
上 
1 
fa] I 目 录 服 务 、CRL 、 硬件 加 密 机 | 
1OCSP. 时 间 惟 服务 / 密 钥 管理 了 1 
RA 管理 员 NE 管 1 
理 
[3 最 
务 
密 钥 管理 员 CA 管理 员 器 


8.3 PKI 的 组 成 结构 


PKI 安全 策略 建立 和 定义 了 一 个 信息 安全 方面 的 指导 方针 ,同时 也 定义 了 密码 系统 使 
用 的 处 理 方法 和 原则 。 它 包括 一 个 组 织 怎样 处 理 密 钥 和 有 价值 的 信息 ,根据 风险 的 级 别 定 
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种 


义 了 安全 控制 的 级 别 。 一 般 情况 下 ,在 PKI 中 有 两 种 类 型 的 策略 : 一 个 是 证 书 策略 ,用 于 管 
理 证 书 的 使 用 ; 另外 一 个 就 是 证 书 使 用 声明 (Certificate Practice Statement,CPS) 。 一 些 由 
商业 证 书 发 放 机 构 (CCA) 或 者 可 信 的 第 三 方 操作 的 PKI 系统 需要 CPS。 这 是 一 个 包含 如 
何在 实践 中 增强 和 支持 安全 策略 的 一 些 操作 过 程 的 详细 文档 。 它 包括 CA 是 如 何 建立 和 运 
作 的 ,证 书 是 如 何 发 行 、 接 收 和 撤销 的 , 密 钥 是 如 何 产 生 注册 的 ,以 及 密 钥 是 如 何 存储 的 ,用 
户 是 如 何 得 到 它 的 等 。 

证 书 机 构 CA 是 PKI 的 信任 基础 , 它 管 理 公 钥 的 整个 生命 周期 ,其 作用 包括 : 发 放 证 
书 、 规 定 证 书 的 有 效 期 和 通过 发 布 证 书 撤销 列表 (Certificate Revocation Lists,CRL) 来 确保 
在 必要 时 可 以 撤销 证 书 。 

注册 机 构 RA 提供 用 户 和 CA 之 间 的 一 个 接口 , 它 用 于 获取 并 认证 用 户 的 身份 ,向 CA 
提出 证 书 请 求 。 这 里 指 的 用 户 , 是 指 将 要 向 认证 中 心 ( 即 CA) 申 请 数字 证 书 的 客户 ,可 以 是 
个 人 ,也 可 以 是 集团 或 团体 、 某 政府 机 构 等 。 注 册 机 构 RA 是 CA 的 证 书 发 放 、 管 理 的 延伸 。 
它 主 要 负责 : 接收 和 验证 新 注册 人 的 注册 信息 ; 代表 最 终 用 户 生成 密 钥 对 ; 接收 和 授权 密 
钥 备 份 和 恢复 请 求 ; 接收 和 授权 证 书 吊 销 请 求 ; 按 需 分 发 或 恢复 硬件 设备 ,如 令 牌 。 注 册 
管理 一 般 由 一 个 独立 的 注册 机 构 ( 即 RA) 来 负责 。 它 接受 用 户 的 注册 申请 ,审查 用 户 的 申 
请 资格 ,并 决定 是 否 同意 CA 向 其 签发 数字 证 书 。 注 册 机 构 并 不 给 用 户 签 发 证 书 ,而 只 是 对 
用 户 进行 资格 审查 。 因 此 ,RA 可 以 设置 在 直接 面 对 客 户 的 业务 部 门 ,如 银行 的 营业 部 、 机 
构 人 事 部 门 等 。 对 于 一 个 规模 较 小 的 PKI 应 用 系统 来 说 ,可 把 注册 管理 的 职能 分 配给 认证 
中 心 CA ,而 不 设立 独立 运行 的 RA。 但 这 并 不 是 取消 了 PKI 的 注册 功能 ,而 只 是 将 其 作为 
CA 的 一 项 功能 而 已 。PKI 国际 标准 推荐 由 一 个 独立 的 RA 来 完成 注册 管理 的 任务 ,可 以 
增强 应 用 系统 的 安全 。 

证 书 发 布 系统 负责 证 书 的 发 放 , 如 可 以 通过 用 户 自己 ,或 是 通过 目录 服务 。 目 录 服 务 器 
可 以 是 一 个 组 织 中 现存 的 ,也 可 以 是 PKI 方 案 中 提供 的 。 

一 个 PKI 系统 还 必须 包括 相应 的 存储 证 书 的 证 书库 。 证 书库 包括 LDAP 目录 服务 器 
和 普通 数据 库 , 用 于 对 用 户 申 请 .证 书 、 密 钥 .CRL 日志 等 信息 进行 存储 和 管理 ,并 提供 一 定 
的 查询 功能 。 

换 一 个 角度 说 ,PKI 系统 的 构建 必须 包括 认证 机 构 \ 证 书库 、 密 钥 备 份 及 恢复 系统 \ 证 书 
撤销 系统 .PKI 应 用 接口 等 基本 组 成 部 分 。 


8.2.1 认证 机 构 


认证 机 构 CA 是 PKI 的 核心 组 成 部 分 ,是 证 书 的 颁发 机 构 。PKI 的 服务 都 是 围绕 对 密 
钥 的 管理 展开 的 ,这 里 的 密 钥 指 的 是 公 钥 / 私 钥 对 。PKI 对 公 钥 的 管理 是 通过 数字 证 书 来 实 
现 的 ,通过 CA 把 用 户 的 公 钥 和 其 他 标识 信息 捆绑 在 一 起 。 认 证 中 心 的 任务 就 是 负责 产生 、 
分 配 并 管理 数字 证 书 。 每 一 份 数字 证 书 都 与 上 一 级 的 数字 签名 证 书 相关 联 ,最 终 通过 安全 链 
追溯 到 一 个 已 知 的 并 被 广泛 认为 是 安全 ,权威 .足以 信赖 的 机 构 一 一 根 认证 中 心 ( 根 CA) 。 

数字 证 书 也 称 为 公 钥 证 书 或 电子 证 书 ,是 公 钥 体制 中 使 用 的 公 钥 的 一 个 密 钥 管理 载体 ， 
它 是 一 种 权威 性 的 电子 文档 , 形 同 网 络 环境 中 的 一 种 身份 证 ,用 以 证 明 某 个 主题 (如 用 户 、 服 
务 器 等 ) 的 身份 以 及 其 所 持 有 的 公开 密 钥 的 真实 性 和 合法 性 。 而 认证 机 构 则 是 这 样 一 个 可 
信和 机 构 , 它 对 任何 主体 的 公 钥 进行 公证 ,并 证 明 主 体 的 身份 ,以 及 该 主体 与 其 所 持 有 的 公 钥 
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之 间 的 匹配 关系 。 认 证 机 构 的 主要 职责 如 下 。 
。 验证 并 标识 证 书 申请 者 的 身份 。 
。 确保 CA 用 于 签名 证 书 的 非 对 称 密 钥 的 质量 。 
。 确保 整个 认证 过 程 的 安全 性 ,确保 签名 私 钥 的 安全 性 。 
。 证 书 资料 信息 (包括 公 钥 证 书 序列 号 .CA 标识 等 ) 的 管理 。 
。 确定 并 检查 证 书 的 有 效 期 。 
。 确保 证 书 主题 标识 的 唯一 性 ,防止 重 名 。 
。 发 布 并 维护 作废 证 书 列表 。 
。 对 整个 证 书签 发 过 程 做 日 志 记录 。 
。 向 申请 人 发 出 通知 。 
其 中 CA 对 所 颁发 的 证 书 的 数字 签名 保证 了 证 书 的 有 效 性 和 权威 性 ,因此 CA 需要 保 
护 好 自己 的 一 对 密 钥 ,确保 其 高 度 的 机 密 性 ,防止 他 方 伪造 证 书 。CA 的 公 钥 在 网 上 公开 ， 
整个 网 络 系统 必须 保证 完整 性 。 
主体 的 公 钥 可 以 由 如 下 方式 产生 ,然后 由 CA 对 其 进行 数字 签名 。 
。 用 户 自己 生成 密 钥 对 ,然后 将 公 钥 以 安全 的 方式 传送 给 CA ,这 种 方法 的 优点 是 用 户 
私 钥 不 会 被 传播 给 其 他 实体 ,但 该 过 程 必须 保证 用 户 公 钥 的 可 验证 性 和 完整 性 。 
。 密 钥 对 由 CA 产生 ,然后 将 其 以 安全 的 方式 传送 给 用 户 。 认 证 机 构 是 用 户 信任 的 实 
体 , 并 且 具 有 必要 的 ,安全 的 安全 手段 ,这 是 一 种 比较 合适 的 选择 。 该 过 程 必须 确保 
密 钥 对 的 机 密 性 、 完 整 性 和 可 验证 性 ,这 种 方式 对 CA 的 可 信 性 要 求 更 高 。 


8.2.2 证 书 和 证 书库 


证 书库 是 CA 颁发 证 书 和 撤销 证 书 的 集中 存放 地 ,是 Internet 上 的 一 种 公共 信息 库 , 可 
供用 户 进行 开放 式 查询 。 

证 书库 的 一 般 构 造 方法 是 采用 支持 LDAP 协议 的 目录 系统 。 证 书 及 证 书 撤销 信息 在 
目录 系统 上 发 布 , 其 标准 格式 采用 X. 500 系列 。 用 户 或 相关 应 用 可 以 通过 LDAP 来 访问 证 
书库 ,实时 查询 证 书 和 证 书 撤销 信息 。 系 统 必须 保证 证 书库 的 完整 性 ,防止 伪造 、 臭 改 证 书 。 

证 书库 中 存放 的 数字 证 书 是 一 个 经 CA 数字 签名 的 包含 公开 密 钥 拥有 者 信息 和 公开 密 
钥 的 文件 ,证 书 的 权威 性 取决 于 该 机 构 的 权威 性 。 最 简单 的 证 书包 含 一 个 公开 密 钥 、 名 称 以 
及 证 书 授权 中 心 的 数字 签名 。 一 般 情 况 下 证 书 中 还 包括 密 钥 的 有 效 时 间 、 发 证 机 关 ( 证 书 授 
权 中 心 ) 的 名 称 、 该 证 书 的 序列 号 等 信息 。 

证 书 是 PKI 的 管理 核心 ,PKI 适 用 于 异 构 环境 ,所 以 证 书 的 格式 在 所 使 用 的 范围 内 必须 统 
一 。 证 书 的 格式 遵循 ITUT X. 509 国际 标准 ,关于 该 标准 ,我 们 会 在 后 续 章 节 中 详细 介绍 。 

X. 509 目前 有 3 个 版 本 : v1、v2 和 v3, 其 中 ,v3 是 在 v2 的 基础 上 加 上 扩展 项 后 的 版 本 ， 
这 些 扩展 包括 由 ISO 文档 (X. 509-AM) 定 义 的 标准 扩展 ,也 包括 由 其 他 组 织 或 团体 定义 或 
注册 的 扩展 项 。 为 了 适应 新 的 需求 ,ISO/IEC 和 ANSI X9 发 展 了 X. 509 v3 版 本 证 书 格式 ， 
该 版 本 证 书 通过 增加 标准 扩展 项 对 vl 和 v2 证 书 进行 了 扩展 。 另 外 ,根据 实际 需要 ,各 个 组 
织 或 团体 也 可 以 增加 自己 的 私有 扩展 。 

X. 509 vl 和 v2 证 书 所 包含 的 主要 内 容 如 下 。 

。 证 书 版 本 号 : 指明 X. 509 证 书 的 格式 版 本 。 
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证 书 序列 号 : 序列 号 指定 由 CA 分 配给 证 书 的 唯一 的 数字 型 标识 符 。 当 证 书 被 取消 
时 , 则 将 此 证 书 的 序列 号 放 入 由 CA 签发 的 CRL 中 。 

签名 算法 标识 符 : 指定 由 CA 签发 证 书 时 所 使 用 的 签名 算法 。 算 法 标识 符 用 来 指定 
CA 签发 证 书 时 所 使 用 的 公开 密 钥 算法 和 Hash 算法 , 需 在 知名 标准 组 织 ( 如 ISO) 


注册 。 
。 签发 机 构 名 : 标识 签发 证 书 的 CA 的 X. 500 DN 名 字 。 包 括 国家 、 省 市 .地 区 、 组 织 
机 构 、 单 位 部 门 和 通用 名 。 


有 效 期 : 指定 证 书 的 有 效 期 ,包括 证 书 开始 生效 的 日 期 和 时 间 以 及 失效 的 日 期 和 时 
间 。 每 次 使 用 证 书 时 ,都 需要 检查 证 书 是 否 在 有 效 期 内 。 

证 书 用 户 名 : 指定 证 书 持 有 者 的 X. 500 的 唯一 名 字 。 包 括 国家 、 省 市 .地 区 组织 机 
构 .单位 部 门 和 通用 名 ,还 可 包含 E-mail 地 址 等 个 人 信息 。 

证 书 持 有 者 公 钥 信息 : 证 书 持 有 者 公开 密 钥 信息 域 包 含 两 个 重要 信息 。 证 书 持 有 
者 的 公开 密 钥 的 值 ; 公开 密 钥 使 用 的 算法 标识 符 。 此 标识 符 包含 公开 密 钥 算法 和 
Hash 算法 。 

签发 者 唯一 标识 符 : 签发 者 唯一 标识 符 在 v2 版 被 加 入 到 证 书 定义 中 。 此 域 用 在 当 
同一 个 X. 500 名 字 用 于 多 个 认证 机 构 时 ,用 1 位 字符 串 来 唯一 标识 签发 者 的 X. 500 
名 字 。 该 标识 符 是 可 选 的 。 

证 书 持 有 者 唯一 标识 符 : 持 有 证 书 者 唯一 标识 符 在 v2 版 的 标准 中 被 加 入 到 X. 509 
证 书 定义 。 此 域 用 在 当 同 一 个 X. 500 名 字 用 于 多 个 证 书 持 有 者 时 ,用 1 位 字符 串 来 
唯一 标识 证 书 持 有 者 的 X. 500 名 字 。 该 标识 符 是 可 选 的 。 

签名 值 : 证 书签 发 机 构 对 证 书 上 述 内 容 的 签名 值 。 


X. 509 v3 证 书 是 在 v2 的 基础 上 增加 了 扩展 项 ,以 使 证 书 能 够 附带 额外 信息 。 标 准 扩 
展 是 指 由 X. 509 v3 版 本 定义 的 对 v2 版 本 增加 的 具有 广泛 应 用 前 景 的 扩展 项 ,任何 人 都 可 
以 向 一 些 权威 机 构 , 如 ISO, 来 注册 一 些 其 他 扩展 ,如 果 这 些 扩展 项 应 用 广泛 ,也 许 以 后 会 成 
为 标准 扩展 项 。 数 字 证 书 的 格式 可 参见 第 4 章 中 的 相关 内 容 。 


8.2.3 证 书 撤销 


CA 签发 证 书 来 捆绑 用 户 的 身份 和 公 钥 。 和 各 种 其 他 类 型 的 证 件 一 样 ,证 书 在 有 效 期 
内 可 能 因为 一 些 原 因 需 要 撤销 用 户 信息 和 公 钥 的 捆绑 关系 ,如 用 户 姓名 的 改变 ,用 户 与 所 属 
团体 的 关系 发 生变 更 、 私 钥 汇 露 等 。 

这 就 需要 终止 证 书 的 生命 期 ,并 警告 其 他 用 户 不 再 使 用 这 个 证 书 。PKI 为 此 提供 了 证 
书 撤销 的 管理 机 制 ,撤销 证 书 有 以 下 几 种 机 制 。 

(1) 撤销 一 个 或 多 个 主体 的 证 书 。 

(2) 撤销 由 某 一 对 密 钥 签发 的 所 有 证 书 。 

(3) 撤销 由 CA 签发 的 所 有 证 书 。 

一 般 CA 通过 发 布 证 书 撤销 列表 CRL 来 发 布 撤销 信息 。CRL 是 由 CA 签名 的 一 组 电 
子 文档 ,包括 了 被 撤销 证 书 的 唯一 标识 (证 书 序列 号 ) 。CRL 为 应 用 程序 和 其 他 系统 提供 了 
一 种 检验 证 书 有 效 性 的 方式 。 任 何 一 个 证 书 被 撤销 后 ,CA 就 会 通过 发 布 CRL 的 方式 来 通 
知 各 方 。 目 前 , 同 X. 509 v3 证 书 对 应 的 CRL 为 X. 509 v2 CRL, 其 所 包含 的 内 容 如 下 。 
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。 CRL 的 版 本 号 : 0 表示 X. 509 vl 标准 ; 1 表示 X. 509 v2 标准 ; 目前 常用 的 是 与 
X. 509 v3 证 书 对 应 的 CRL v2 版 本 。 
。 签名 算法 : 包含 算法 标识 和 算法 参数 ,用 于 指定 证 书签 发 机 构 用 来 对 CRL 内 容 进行 


签名 的 算法 。 

。 证 书签 发 机 构 名 : 签发 机 构 名 ,由 国家 、 省 市 .地 区 、 组 织 机 构 、 单 位 部 门 、 通 用 名 等 
组 成 。 

。 本 次 签发 时 间 : 本 次 CRL 的 发 布 时 间 , 以 UTCTime 或 GeneralizedTime 的 形式 
表示 。 


。 下 次 签发 时 间 : 下 次 CRL 的 发 布 时 间 , 和 本 次 签发 时 间 的 表示 形式 一 致 。 

。 用 户 公 钥 信息 : 其 中 包括 撤销 的 证 书 序列 号 和 证 书 撤销 时 间 。 撤 销 的 证 书 序列 号 
是 指 要 撤销 的 、 由 同一 个 CA 签发 的 证 书 的 一 个 唯一 标识 号 ,同一 机 构 签发 的 证 书 
不 会 有 相同 的 序列 号 。 

。 签名 算法 : 对 CRL 内 容 进行 签名 的 签名 算法 。 

。 签名 值 : 证 书签 发 机 构 对 CRL 内 容 的 签名 值 。 


另外 ,CRL 中 还 包含 扩展 域 和 条 目 扩展 域 。CRL 扩展 域 用 于 提供 与 CRL 有 关 的 额外 
信息 部 分 ,允许 团体 和 组 织 定义 私有 的 CRL 扩展 域 来 传送 他 们 独 有 的 信息 ; CRL 条 目 扩展 
域 则 提供 与 CRL 条 目 有 关 的 额外 信息 部 分 ,允许 团体 和 组 织 定义 私有 的 CRL 条 目 扩展 域 
来 传送 他 们 独 有 的 信息 。 

另外 ,CRL 一 般 通过 Internet 上 下 载 的 方式 存储 在 用 户 端 。 如 果 合 适 ,在 撤销 一 个 用 
户 的 证 书 时 应 提供 一 个 新 的 证 书 ,CA 以 离线 方式 通知 证 书 拥有 者 证 书 已 被 撤销 。CA 必须 
维护 颁发 被 撤销 的 带 时 间 标 记 的 证 书 列表 。 

对 证 书 撤销 信息 的 查询 ,也 可 以 使 用 在 线 查 询 方式 。 在线 证 书 状 态 协议 (Online 
Certificate Status Protocol,OCSP) 是 IETF 颁布 的 用 于 检查 数字 证 书 在 某 一 交易 时 间 是 否 
有 效 的 标准 ,可 以 实时 进行 这 类 检查 , 比 下 载 和 处 理 CRL 的 传统 方式 更 快 , 更 方便 和 更 具 独 
立 性 。 为 立即 检查 证 书 是 否 被 撤销 ,用 户 的 客户 机 必须 形成 请 求 ,并 将 请 求 转发 到 一 个 
OCSP 应 答 器 , 即 网 络 中 保存 最 新 撤销 信息 的 服务 器 应 用 程序 。 应 答 器 对 请 求 给 予 回 答 。 
证 书 机 构 或 其 他 实体 向 作为 公共 密 钥 基 础 设施 的 可 信 体 系 组 成 部 分 的 可 信赖 机 构 提 供 
OCSP 应 答 器 。 对 于 使 用 OCSP 应 答 器 的 用 户 来 说 ,获得 这 一 信息 的 最 佳 途径 是 使 证 书 机 
构 将 信息 直接 输入 到 应 答 器 中 。 根 据 证 书 机 构 与 OCSP 应 答 器 之 间 的 关系 ,证 书 机 构 可 以 
转发 即时 的 通知 或 证 书 撤销 信息 ,并 且 这 些 信息 可 以 立即 被 提供 给 用 户 。 


8.2.4 密 钥 备份 和 恢复 


密 钥 的 备份 和 恢复 是 PKI 中 的 一 个 重要 内 容 。 因 为 可 能 会 有 很 多 原因 造成 丢失 解密 
数据 的 密 钥 ,那么 被 加 密 的 密 文 将 无 法 解 开 ,造成 数据 丢失 。 为 了 避免 这 种 情况 的 发 生 ， 
PKI 提供 了 密 钥 备份 与 解密 密 钥 的 恢复 机 制 , 即 密 钥 备份 与 恢复 系统 。 

在 PKI 中 , 密 钥 的 备份 和 恢复 分 为 CA 自身 根 密 钥 和 用 户 密 钥 两 种 情况 。 

由 于 CA 根 密 钥 是 整个 PKI 安全 运营 的 基石 ,其 安全 性 关系 到 整个 PKI 系统 的 安全 及 
正常 运行 ,因此 对 于 根 密 钥 的 产生 和 备份 的 安全 性 要 求 很 高 。 根 密 钥 由 硬件 加 密 模块 中 的 
加 密 机 产生 ,加 密 机 系统 管理 员 局 动 专用 的 管理 程序 执行 备份 过 程 。 备 份 方法 是 将 根 密 钥 
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分 为 多 块 ,为 每 一 块 生成 一 个 随机 密码 ,使 用 该 密码 加 密 该 模块 ,然后 将 加 密 后 的 密 钥 块 分 
别 写 和 不 同 的 IC 卡 中 ,每 个 密码 以 一 个 文件 形式 存放 ,每 人 保存 一 块 。 在 恢复 密 钥 时 ,由 各 
密 钥 备份 持 有 人 分 别 插入 各 自 保管 的 IC 卡 ,并 输入 相应 的 密码 才能 恢复 密 钥 。 

在 CA 签发 用 户 证 书 时 ,就 可 以 做 密 钥 备份 。 一 般 将 用 户 密 钥 存放 在 CA 的 资料 库 中 。 
进行 恢复 时 ,根据 密 钥 对 历史 存档 进行 恢复 。 在 完成 恢复 之 后 ,将 产生 一 个 新 的 签名 密 钥 对 
来 代替 旧 的 签名 密 钥 对 。 

值得 注意 的 是 , 密 钥 备份 和 恢复 一 般 只 针对 解密 密 钥 ,签名 私 钥 是 不 做 备份 的 。 


8.2.5 PKI 应 用 接口 


PKI 需 要 提供 良好 的 应 用 接口 ,使 得 其 所 能 提供 的 服务 可 以 为 各 种 不 同 的 应 用 进行 安 
全 ,一 致 , 可 信 的 交互 ,以 降低 管理 维护 成 本 ,提高 应 用 系统 使 用 的 透明 度 。 为 此 ,PKI 应 用 
接口 需要 实现 以 下 功能 。 
。 完成 证 书 的 验证 ,为 所 有 应 用 提供 一 致 .可 信 的 方式 使 用 公 钥 证 书 。 
。 以 安全 .一致 的 方式 与 PKI 的 密 钥 备份 与 恢复 系统 交互 ,为 应 用 提供 统一 的 密 钥 备 
份 与 恢复 支持 。 
在 所 有 应 用 系统 中 ,确保 用 户 的 签名 私 钥 始 终 在 用 户 本 人 的 控制 下 。 
。 根据 案情 策略 自动 为 用 户 更 换 密 钥 ,实现 密 钥 更 换 的 自动 .透明 与 一 致 
。 为 方便 用 户 访问 加 密 的 历史 数据 ,要 向 应 用 提供 历史 密 钥 的 安全 管理 服务 。 
。 为 所 有 应 用 访问 统一 的 公 钥 证 书库 提供 支持 。 
。 以 可 信 .一致 的 方式 与 证 书 撤销 系统 交互 ,向 所 有 应 用 提供 统一 的 证 书 撤销 处 理 
服务 。 
。 完成 交叉 证 书 的 验证 工作 ,为 所 有 应 用 提供 统一 模式 的 交叉 验证 支持 。 
。 支持 多 种 密 钥 存 储 介 质 。 
。 提供 跨 平 台 服务 。 


8.3 PKI 的 功能 


8.3.1 证 书 的 管理 


PKI 中 提供 对 证 书 的 管理 包括 : 证 书 的 申请 和 审批 ,证 书 的 签发 和 和 下载. 证 书 的 查询 和 
获取 证书 撤 销 等 。 

1. 证 书 的 申请 和 审批 

注册 审核 机 构 RA 负责 证 书 的 申请 和 审批 功能 。 处 理 流程 是 : 用 户 直 接 从 RA 处 获得 
申请 表 ,填写 相关 内 容 ,提交 给 RA, 由 RA 对 相关 内 容 进行 审核 并 决定 是 否 审批 通过 该 证 
书 申请 的 请 求 。 通 过 审核 后 ,RA 将 申请 请 求 及 审批 通过 的 信息 提交 给 相应 的 认证 中 心 
CA, 由 CA 进行 证 书 的 签发 。 其 中 证 书 的 申请 和 审批 方式 有 离线 和 在 线 两 种 ,终端 用 户 可 
视 具体 情况 选择 合适 的 方式 。 

有 些 简 单 的 PKI 系统 的 CA 和 RA 是 一 体 的 , 即 证 书 的 申请 、 审 批 和 签发 都 由 CA 来 完成 。 
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2. 证 书 的 签发 和 下 载 

RA 完成 了 证 书 的 申请 和 审批 后 ,将 证 书 请 求 提交 给 CA, 由 CA 颁发 所 申请 的 证 书 , 其 
中 由 CA 所 生成 的 证 书 格式 符合 X. 509 v3 标准 ,CA 对 证 书 进行 数字 签名 。 

证 书 的 签发 分 为 离线 方式 和 在 线 方式 两 种 。 

离线 方式 包括 两 个 步骤 : (1) 证 书 申请 被 批准 注册 后 ,RA 端的 应 用 程序 初始 化 申请 者 
的 信息 ,在 LDAP 目录 服务 器 中 添加 证 书 申请 人 的 有 关 信 息 ; (2)RA 初始 化 信息 后 传 给 
CA,CA 将 相应 的 一 次 性 密码 和 认证 码 通过 可 靠 途 径 ( 电 子 邮 件 或 保密 信封 ) 传 递 给 证 书 申 
请 者 ,证书 申请 者 在 RA 处 输入 密码 和 认证 码 并 确认 无 误 后 .在 现场 领取 证 书 。 证书 可 存 和 人 
软盘 或 者 存放 于 USB Key 中 。 

在 线 方式 包括 3 个 步骤 : (1)RA 端 首先 从 CA 处 接收 到 该 申请 的 一 次 性 密码 和 认证 
码 , 然 后 由 了 RA 将 其 交 给 证 书 申请 者 ; (2) 证 书 申请 者 通过 Internet 登录 网 上 银行 网 站 , 通 
过 浏览 器 安装 根 CA 的 证 书 ; (3) 申 请 者 在 银行 的 网 页 上 , 按 提示 填 和 人 从 RA 处 拿 到 的 密码 
和 认证 码 信息 ,就 可 以 下 载 自 己 的 证 书 了 。 

3. 证 书 的 查询 和 获取 

当 用 户 收 到 发 送 者 进行 数字 签名 的 信息 时 ,需要 验证 该 数字 签名 ,如 果 和 希望 将 加 密 信息 
发 送 给 其 他 用 户 ,需要 获取 其 他 用 户 的 公 钥 证 书 并 验证 有 效 性 。 且 证 书 都 存在 周期 问题 ,所 
以 在 使 用 证 书 中 所 携带 的 公 钥 之 前 ,需要 保证 当前 证 书 是 有 效 的 ; 另外 ,即便 是 在 有 效 期 
内 ,也 可 能 该 证 书 已 经 被 用 户 更 新 或 撤销 了 ,这 都 需要 进行 查询 和 验证 。 

PKI 体系 中 提供 了 获取 证 书 的 多 种 方式 。 

。 发 送 者 发 送 签名 信息 时 ,附加 发 送 自己 的 证 书 。 

。 单 独 发 送 证 书信 息 的 通道 。 

。 从 访问 发 布 证 书 的 目录 服务 器 获得 。 

。 从 证 书 的 相关 实体 处 获得 。 

发 送 者 在 发 送 用 于 验证 数字 签名 的 证 书 的 同时 ,可 以 发 布 证 书 链 。 这 时 ,如 果 接 收 者 拥 
有 证 书 链 上 的 每 一 个 证 书 , 就 可 以 验证 发 送 者 的 证 书 。 

PKI 系 统 提 供 对 证 书 状 态 信 息 的 查询 ,以 及 对 证 书 撤销 列表 的 查询 机 制 。 可 以 通过 
LDAP 协议 ,实时 地 访问 证 书目 录 和 证 书 撤销 列表 ,提供 实时 在 线 查 询 ,以 确认 证 书 的 状态 。 

4. 证 书 撤销 

证 书 在 使 用 过 程 中 可 能 会 因为 各 种 原因 而 被 废止 。 例 如 , 密 钥 泄密 ,相关 从 属 信息 变 
更 , 密 钥 有 效 期 中 止 或 者 CA 本 身 的 安全 隐患 所 引起 废止 等 。 因 此 PKI 提供 了 专门 的 证 书 
撤销 功能 ,这 部 分 内 容 已 在 第 8. 2. 3 节 中 给 出 了 详细 讨论 。 


8.3.2 密 钥 的 管理 


1. 密 钥 的 产生 和 分 发 

用 户 公 / 私 钥 对 的 产生 、 验 证 及 分 发 有 两 种 方式 : 用 户 自己 完成 或 由 代理 完成 。 

用 户 自己 可 以 产生 密 钥 对 ,选取 产生 密 钥 方法 ,负责 私 钥 的 存放 ; 用 户 应 向 CA 提交 自 
己 的 公 钥 和 身份 证 明 ,CA 对 用 户 进行 身份 认证 ,对 密 钥 的 强度 和 持 有 者 进行 审核 。 在 审核 
通过 的 情况 下 ,对 用 户 的 公 钥 产生 证 书 ; 然后 通过 面对面 、 信 件 或 电子 方式 将 证 书 安全 地 发 
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放 给 用 户 ; 最 后 CA 负责 将 证 书 发 布 到 相应 的 目录 服务 器 。 

在 某 些 情况 下 ,用户 自己 产生 了 密 钥 对 后 ,到 在 线 证 书 审核 机 构 去 进行 证 书 申请 。 此 
时 ,审核 机 构 完成 对 用 户 的 身份 认证 后 ,以 数字 签名 的 方式 向 CA 提供 用 户 的 公 钥 及 相关 信 
息 ; CA 完成 对 公 钥 强度 检测 后 产生 证 书 ,CA 将 签名 的 证 书 返 给 审核 机 构 ,由 审核 机 构 发 
放 给 用 户 或 者 CA 通过 电子 方式 将 证 书 发 放 给 用 户 。 

密 钥 也 可 以 由 CA 为 用 户 产生 。 在 这 种 情况 下 ,用 户 在 CA 中 心 产生 并 获得 密 钥 对 , 密 
钥 对 产生 之 后 ,CA 中 心 应 自动 销毁 本 地 的 用 户 私 钥 对 副本 ; 用 户 取得 密 钥 对 后 ,保存 好 自 
己 的 私 钥 , 将 公 钥 送 至 CA, 再 按 上 述 方式 申请 证 书 。 

2. 密 钥 的 备份 和 恢复 

PKI 提供 了 密 钥 备份 与 解密 密 钥 的 恢复 机 制 , 即 密 钥 备份 与 恢复 系统 。 密 钥 的 备份 和 
恢复 分 为 CA 自身 根 密 钥 和 用 户 密 钥 两 种 情况 。 

3. 密 钥 的 自动 更 新 

一 个 证 书 的 有 效 期 是 有 限 的 ,这 就 需要 定期 更 新 证 书 。 但 对 PKI 用 户 来 说 ,手工 完成 
密 钥 更 新 几乎 是 不 可 行 的 ,因为 用 户 自 己 经 常会 忽视 证 书 已 过 期 ,只 有 使 用 失败 时 才能 发 
党 。 因 此 ,PKI 系 统 提供 密 钥 的 自动 更 新 功能 。 也 就 是 说 ,无 论 用 户 的 证 书 用 于 何 种 目的 ， 
在 认证 时 ,都 会 在 线 自动 检查 有 效 期 , 当 失效 日 期 到 来 之 前 的 某 个 时 间 间隔 内 自动 启动 更 新 
程序 ,生成 一 个 新 的 证 书 来 代替 旧 证 书 ,新 旧 证 书 的 序列 号 不 同 。 

密 钥 更 新 针对 加 密 密 钥 对 和 签名 密 钥 对 ,由 于 其 安全 性 要 求 的 不 一 样 ,其 自动 过 程 也 不 
完全 一 样 。 

PKI 系 统 采取 对 管理 员 和 用 户 透 明 的 方式 进行 加 密 密 钥 对 和 证 书 的 更 新 工作 ,提供 全 
面 的 密 钥 .证 书 及 生命 周期 的 管理 。 系 统 对 快要 过 期 的 证 书 进行 自动 更 新 ,不 需要 管理 员 和 
用 户 干预 。 当 加 密 密 钥 对 接近 过 期 时 ,系统 将 生成 新 的 加 密 密 钥 对 。 这 个 过 程 基本 上 与 证 书 
发 放 过 程 相 同 , 即 CA 使 用 LDAP 协议 将 新 的 加 密 证 书 发 送 给 目录 服务 器 ,以 供用 户 下 载 。 

签名 密 钥 对 的 更 新 是 当 系统 检查 证 书 是 否 过 期 时 ,对 接近 过 期 的 证 书 , 将 创建 新 的 签名 
密 钥 对 。 利 用 当前 证 书 建立 与 认证 中 心 之 间 的 连接 ,认证 中 心 将 创建 新 的 认证 证 书 ,并 将 证 
书 发 回 RA ,在 归档 的 同时 ,供用 户 在 线 下 载 。 

4. 密 钥 历史 档案 管理 

由 于 密 钥 的 不 断 更 新 ,经 过 一 定 的 时 间 段 ,每 个 用 户 都 会 形成 多 个 * 旧 ”证书 和 至 少 一 个 
“当前 ”证 书 。 这 一 系列 的 旧 证 书 和 相应 的 私 钥 就 构成 了 用 户 密 钥 和 证 书 的 历史 档案 ,简称 
密 钥 历史 档案 。 密 钥 历史 档案 也 是 PKI 系 统 的 一 个 必 不 可 少 的 功能 。 例 如 , 某 用 户 几 年 前 
加 密 的 数据 或 其 他 人 用 他 的 公 钥 为 其 加 密 的 数据 ,无 法 用 现在 的 私 钥 解 密 ,那么 就 需要 从 他 
的 密 钥 历史 档案 中 找到 正确 的 解密 密 钥 来 解密 数据 。 与 此 类 似 ,有 时 也 需要 从 密 钥 历史 档 
案 中 找到 合适 的 证 书 验证 以 前 的 签名 。 

类 似 于 密 钥 更 新 ,管理 密 钥 历史 档案 也 应 当 由 PKI 自动 完成 。 在 任何 系统 中 ,需要 用 
户 自己 查找 正确 的 私 钥 或 用 每 个 密 钥 去 尝试 解密 数据 .这 对 用 户 来 说 是 无 法 容忍 的 。 


8.3.3 交叉 认证 
每 个 CA 只 能 覆盖 一 定 的 作用 范围 ,这 个 范围 称 为 CA 的 域 。 例 如 ,不同 的 企业 有 各 自 
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的 CA, 它们 颁发 的 证 书 只 能 在 企业 内 有 效 , 当 属于 不 同 CA 域 的 用 户 需要 进行 安全 通信 时 ， 
则 需要 提供 一 种 互相 认可 对 方 证 书 的 机 制 ,在 原本 没有 联系 的 CA 之 间 建 立信 任 关系 ,这 就 
是 交叉 认证 (Cross-Certification ) 。 

交叉 认证 机 制 用 于 保证 一 个 PKI 团 体 的 用 户 可 以 验证 另 一 个 PKI 团 体 的 用 户 证 书 。 
它 是 将 这 些 以 前 无 关 的 CA 连接 在 一 起 的 机 制 , 从 而 使 得 在 它们 各 自主 体 群 之 间 能 够 进行 
安全 通信 。 它 是 第 三 方 信 任 的 扩展 。 其 实质 是 为 了 实现 大 范围 内 各 个 独立 PKI 域 的 互 连 
互通 、 互 操作 而 采用 的 一 种 信任 模型 。 

交叉 认证 从 CA 所 在 域 来 分 有 两 种 形式 : 域内 交叉 认证 和 域 间 交 叉 认 证 。 域 内 交叉 认 
证 即 进 行 交 叉 认 证 的 两 个 CA 属于 相同 的 域 。 例 如 ,在 一 个 组 织 的 CA 层次 结构 中 , 某 一 层 
的 一 个 CA 认证 它 下 面 一 层 的 一 个 CA, 这 就 属于 域内 交叉 认证 。 域 间 交 叉 认 证 即 两 个 进行 
交叉 认证 的 CA 属于 不 同 的 域 。 完 全 独立 的 两 个 组 织 间 的 CA 之 间 进 行 交 叉 认 证 就 是 域 间 
交叉 认证 。 

交叉 认证 既 可 以 是 单 向 的 也 可 以 是 双向 的 。 在 一 个 域内 各 层次 CA 结构 体系 中 的 交叉 
认证 ,只 允许 上 一 级 的 CA 向 下 一 级 的 CA 签发 证 书 , 而 不 能 反 过 来 , 即 只 能 单 向 签发 证 书 。 
而 在 网 状 的 交叉 认证 中 ,双方 可 以 相互 给 对 方 签发 证 书 ,实现 双 向 交叉 认证 。 

交叉 认证 有 两 个 操作 : 首先 在 两 个 域 之 间 建 立信 任 关 系 , 这 通常 是 一 次 性 操作 。 在 双 
方 交叉 认证 的 情况 下 ,两 个 CA 安全 地 交换 他 们 的 验证 密 钥 。 这 些 密 钥 用 于 验证 他 们 在 证 
书 上 的 签名 。 为 了 完成 这 个 操作 ,每 个 CA 签发 一 张 包含 自己 公 钥 的 证 书 ,该 证 书 称 为 交叉 
证 书 。 后 续 操 作 由 客户 端 软件 完成 ,这 个 操作 包含 了 验证 已 由 交叉 认证 的 CA 签发 的 用 户 
证 书 的 有 效 性 ,这 个 操作 需要 经 常 执行 。 该 操作 被 称 为 跟踪 信任 链 , 链 指 的 是 交 又 证 书 认 证 
链表 , 沿 着 这 个 链表 可 以 跟踪 所 有 验证 用 户 证 书 的 CA 密 钥 。 


8.3.4 安全 服务 


PKI 体系 提供 的 安全 服务 功能 ,包括 身份 认证 ,完整 性 ,机 密 性 ,不 可 否认 性 、 时 间 鹤 和 
数据 的 公正 性 服务 。 

1. 身份 认证 

身份 认证 指 的 是 用 户 提供 他 是 谁 的 证 明 。 认 证 的 实质 就 是 证 实 被 认证 对 象 是 否 属实 和 
是 否 有 效 的 过 程 ,常常 被 用 于 通信 双方 相互 确认 身份 ,以 保证 通信 的 安全 。 其 基本 思想 是 通 
过 验证 被 认证 对 象 的 某 个 专 有 属性 ,达到 确认 被 认证 对 象 是 否 真实 、 有 效 的 目的 。PKI 的 认 
证 服务 采用 数字 签名 这 一 密码 技术 。 

数字 签名 技术 是 基于 公 钥 密码 学 的 强 认证 技术 ,其 效果 和 现实 中 的 手写 签名 类 似 ,并 有 具 
有 法 律 效应 。 在 网 络 应 用 中 ,每 个 参与 交易 的 实体 都 拥有 一 对 签名 的 密 钥 ,签名 者 自己 知道 
签名 私 钥 ,并 保证 其 安全 。 公 开 的 是 进行 验证 签名 的 公 钥 。 因 此 只 要 私 钥 安全 ,就 可 以 有 效 
地 对 产生 该 签名 的 声称 者 进行 身份 验证 ,保证 交互 双方 的 身份 真实 性 。 同 时 公 钥 得 到 PKI 
中 的 CA 的 认可 ,由 CA 为 其 签发 一 个 将 用 户 身 份 和 公 钥 进行 绑 定 的 网 上 身份 证 一 一 数字 
证 书 , 来 保证 公 钥 的 可 靠 性 ,以 及 它 与 合法 用 户 的 对 应 关系 。 这 样 , 在 各 种 应 用 中 ,可 以 有 效 
地 实现 身份 认证 。 

作为 认证 体系 的 PKI, 完 成 身份 认证 主要 体现 在 以 下 所 述 的 3 个 步骤 和 层次 。 

(1) 交易 双方 建立 连接 后 ,首先 一 方 验证 另 一 方 所 持 证 书 的 有 效 性 ,通过 访问 证 书目 
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录 , 查 询 各 自 的 证 书 撤销 列表 ,以 确认 各 自 的 证 书 都 是 当前 使 用 的 有 效 证 书 。 这 一 查询 就 可 
以 对 双方 的 身份 进行 确认 ,因为 CA 为 每 个 实体 签发 证 书 前 就 对 其 身份 做 了 必要 的 信用 度 
审核 。 

(2) 交易 一 方 验 证 另 一 方 所 持 证 书 是 否 为 共同 认可 的 可 信 CA 签发 , 即 CA 的 有 效 性 。 
由 于 在 系统 的 初始 化 时 各 交易 实体 已 获得 可 信 CA 的 公 钥 ,而且 每 个 实体 所 持 证 书 中 都 有 
该 CA 所 做 的 签名 。 因 此 ,如 果 所 要 验证 的 证 书 是 由 该 CA 签发 ,那么 验证 一 方 就 可 以 用 所 
拥有 的 CA 公 钥 对 CA 所 做 的 签名 进行 有 效 地 验证 。 这 样 就 保证 了 CA 的 可 靠 性 。 

(3) 完成 了 以 上 的 验证 ,证 书 的 有 效 性 就 得 到 了 确认 。 在 真正 处 理 业 务 前 ,交易 中 的 被 
验证 一 方 还 要 对 一 些 可 以 验证 身份 的 信息 ,如 自己 的 标识 符 和 密码 用 所 拥有 的 签名 私 钥 进 
行 签名 ,然后 传 给 该 交易 中 的 验证 一 方 。 这 时 验证 方 就 可 以 直接 用 被 验证 方 的 证 书 中 的 公 
钥 对 这 次 所 做 的 签名 进行 验证 。 

2. 数据 完整 性 

数据 的 完整 性 就 是 防止 信息 被 非法 算 改 ,确认 通信 双方 接收 到 的 数据 和 从 数据 源 发 出 
的 数据 完全 一 致 。 

正如 前 面 章 节 中 所 讨论 的 ,可 以 通过 采用 安全 的 散 列 函 数 和 数字 签名 技术 实现 数据 完 
整 性 保护 ,特别 是 双重 数字 签名 可 以 用 于 保证 多 方 通信 时 数据 的 完整 性 。 用 户 在 发 送信 息 
之 前 对 消息 进行 散 列 值 的 计算 ,并 对 散 列 值 进行 数字 签名 。 收 到 消息 的 人 可 以 对 消息 的 签 
名 进行 验证 ,如 果 有 任何 细微 的 算 改 ,验证 者 都 可 以 知晓 。 对 于 其 中 所 用 到 的 签名 私 钥 和 了 验 
证 所 用 的 公 钥 ,PKI 提供 的 保护 和 身份 认证 中 讨论 的 一 样 。 

3. 数据 机 密 性 

数据 的 机 密 性 就 是 实现 对 所 保护 数据 的 加 密 / 解 密 ,从 而 保证 数据 在 传输 和 存储 中 ,未 
被 授权 的 人 无 法 获取 真实 的 信息 。 所 有 的 机 密 数 据 都 是 由 加 密 技术 实现 的 。 而 PKI 的 机 
密 性 服务 是 一 个 框架 结构 ,通过 这 个 功能 模块 可 以 实现 交易 中 的 算法 协商 和 和 密 钥 交 换 , 而 且 
对 参与 通信 的 实体 来 说 这 些 过 程 是 透明 的 。 

PKI 中 提供 的 公 钥 密码 服务 不 仅 可 以 完成 数字 签名 ,而 且 可 以 实现 加 密 /解密 操作 。 用 
于 不 同 用 途 的 公 钥 通常 是 须要 严格 分 离 的 , 即 用 于 加 密 的 公 钥 不 能 同时 用 于 对 数字 签名 的 
验证 。CA 在 颁发 证 书 的 时 候 会 给 出 严格 的 用 途 说 明 。 

当 需 要 提供 对 信息 的 机 密 性 保护 时 ,发 送 者 可 以 使 用 数字 信封 的 方式 首先 使 用 对 称 会 
话 密 钥 对 原始 数据 进行 加 密 , 然 后 使 用 公 钥 对 较 短 的 对 称 会 话 密 钥 加 密 。 发 送 者 获取 接收 
者 的 公 钥 及 对 其 有 效 性 的 验证 是 依赖 于 对 CA 的 信任 。 

4. 不 可 否认 性 

不 可 否认 用 于 从 技术 上 保证 实体 对 他 们 行为 的 诚实 , 即 参与 交互 的 双方 都 不 能 事后 否 
认 自 己 曾经 处 理 过 的 每 次 操作 。 这 在 电子 商务 、 电 子 政务 等 应 用 中 非常 重要 ,主要 包括 数据 
来 源 的 不 可 否认 性 ,发 送 方 的 不 可 否认 性 以 及 接收 方 在 接收 后 的 不 可 否认 性 。PKI 所 提供 
的 不 可 否认 功能 ,是 基于 数字 签名 以 及 其 所 提供 的 时 间 戳 服务 功能 的 。 

在 进行 数字 签名 时 ,签名 私 钥 只 能 被 签名 者 自己 掌握 ,系统 中 的 其 他 参与 实体 无 法 得 到 
该 密 钥 ,这 样 只 有 签名 者 自己 能 做 出 相应 的 签名 ,其 他 实体 是 无 法 做 出 这 样 的 签名 的 。 这 
样 ,签名 者 从 技术 上 就 不 能 否认 自己 做 过 该 签名 。 为 了 保证 签名 私 钥 的 安全 ,一 般 要 求 这 
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种 密 钥 只 能 在 防 算 改 的 硬件 令 牌 上 产生 ,并 且 永 远 不 能 离开 令 牌 ,以 保证 签名 私 钥 的 安 
全 。 再 利用 PKI 提供 的 时 间 截 功能 ,来 证 明 某 个 特别 事件 发 生 在 某 个 特定 的 时 间或 某 段 
特别 数据 在 某 个 日 期 已 存在 ,防止 消息 的 重 放 。 这 样 ,签名 者 对 自己 所 做 的 签名 将 无 法 
进行 否认 。 

5. 时 间 戳 

在 电子 商务 .电子 政务 应 用 中 ,信息 交换 的 时 间 信 息 非 常 重要 ,这 是 保证 文件 的 有 效 性 
和 防止 被 伪造 和 算 改 的 关键 性 内 容 , 或 者 提供 不 可 否认 服务 。 支 持 这 些 服务 的 一 个 关键 因 
素 就 是 在 PKI 中 使 用 安全 时 间 截 (就 是 说 时 间 源 是 可 信 的 ,时 间 值 必须 被 安全 地 传送 ) 。 最 
重要 的 不 是 时 间 本 身 的 精确 性 ,而 是 相关 时 间 .日 期 的 安全 性 。PKI 中 的 时 间 截 机构 (Time 
Stamp Authority,TSA) 可 以 提供 时 间 玲 服 务 ,给 电子 文档 加 上 权威 的 时 间 和 凭证。 时 间 戳 产 
生 的 过 程 是 : 用 户 首先 计算 需要 加 时 间 惟 的 消息 的 散 列 值 ,然后 将 该 散 列 值 发 送 给 TSA， 
TSA 加 上 收 到 该 散 列 值 的 权威 时 间 ,再 进行 数字 签名 ,然后 返回 给 用 户 。 一 般 由 用 户 自 己 
保持 该 时 间 凭 证 。 在 发 生 纠纷 时 ,用 户 可 以 出 示 时 间 蕉 , 由 第 三 方 进 行 仲裁 。 

PKI 中 必须 存在 用 户 可 信任 的 权威 时 间 源 。 事 实 上 ,权威 时 间 源 提供 的 时 间 并 不 需要 
正确 ,仅仅 需要 用 户 作 为 一 个 “参照 ?时间 完成 基于 PKI 的 事务 处 理 。 例 如 ,事件 B 发 生 在 
事件 A 的 后 面 。 毫 无 疑问 ,最 好 使 用 世界 上 官方 时 间 源 提供 的 时 间 。 虽 然 安 全 时 间 截 是 
PKI 支持 的 服务 ,但 依然 可 以 在 不 依赖 PKI 的 情况 下 实现 安全 时 间 截 服务 。 一 个 PKI 体系 
中 是 否 需要 实现 时 间 蕉 服 务 ,完全 依照 应 用 的 需求 来 决定 。 


8.4 信任 模型 


所 谓 信 任 模型 就 是 一 个 建立 和 管理 信任 关系 的 框架 。 在 PKI 中 , 当 两 个 认证 机 构 中 的 
一 方 给 对 方 的 公 钥 或 双方 给 对 方 的 公 钥 颁发 证 书 时 ,两 者 间 就 建立 了 这 种 信任 关系 。 信 任 
模型 描述 了 如 何 建立 不 同 认 证 机 构 之 间 的 认证 路 径 以 及 构建 和 寻找 信任 路 径 的 规则 。 

PKI 的 信任 模型 主要 闸 述 以 下 一 些 问题 。 

。 一 个 实体 能 够 信任 的 证 书 是 怎样 被 确定 的 ? 

。 这 种 信任 是 怎样 被 建立 的 ? 

。 在 一 定 的 环境 下 ,这 种 信任 如 何 被 控制 ? 


目前 较 流 行 的 PKI 信任 模型 主要 有 4 种 : 认证 机 构 的 严格 层次 结构 模型 .分布 式 信任 
结构 模型 Web 模型 和 以 用 户 为 中 心 的 信任 模型 。 


8.4.1 认证 机 构 的 严格 层次 结构 模型 


认证 机 构 的 严格 层次 结构 可 以 描绘 为 一 棵 倒转 的 树 , 根 在 项 上 , 叶 在 最 下 面 ,如 图 8. 4 
所 示 。 在 这 棵 倒转 的 树 上 , 根 代表 一 个 对 整个 PKI 域内 的 所 有 实体 都 有 特别 意义 的 CA, 通 
常 被 叫做 根 CA ,作为 信任 的 根 或 “信任 错 ”, 它 也 是 信任 的 起 点 。 在 根 CA 的 下 面 是 零 层 或 
多 层 中 间 CA( 也 被 称 作 子 CA ,它们 从 属于 根 CA), 这 些 CA 由 中 间 结 点 代表 ,从 中 间 结 点 
再 伸 出 分 支 。 与 非 CA 的 PKI 实体 相 对 应 的 叶 结 点 通常 被 称 作 终 端 实体 或 终端 用 户 。 
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图 8.4 严格 层次 结构 的 信任 模型 


在 这 个 机 构 中 , 根 CA 直接 认证 连 在 它 下 面 的 CA, 中间 CA 可 以 认证 其 下 面 的 CA ,也 
可 以 直接 认证 终端 实体 。 每 个 实体 都 必须 拥有 根 CA 的 公 钥 。 在 这 个 模型 中 , 根 公 钥 的 安 
装 是 随后 进行 的 所 有 通信 进行 证 书 处 理 的 基础 。 因 此 , 它 必须 通过 一 种 安全 的 方式 完成 。 

在 多 层 的 严格 层次 结构 中 ,终端 实体 直接 由 被 其 上 层 CA 颁发 证 书 , 但 其 信任 锚 是 另 一 
个 不 同 的 CA( 根 CA)。 在 没有 子 CA 的 浅 层 次 结构 中 ,终端 实体 的 根 和 证 书 颁发 者 是 相同 
的 。 这 种 层次 结构 被 称 为 可 信和 颁发 者 层次 结构 。 

根 CA 具有 一 个 自 签名 的 证 书 , 依 次 对 它 下 面 的 CA 进行 签名 ; 层次 结构 中 叶子 结 点 上 
的 CA 用 于 对 终端 实体 进行 签名 ; 对 于 实体 而 言 , 它 信任 根 CA, 可 以 不 必 关 心中 间 的 CA， 
但 它 的 证 书 是 由 底层 的 CA 签发 的 。 要 维护 这 棵 树 ,在 每 个 结 点 CA 上 需要 保存 两 种 证 书 。 

(1) 向 前 证 书 (Forward Certificates): 其 他 CA 发 给 它 的 证 书 。 

(2) 向 后 证 书 (Reverse Certificates): 它 发 给 其 他 CA 的 证 书 。 

假设 实体 A 收 到 B 的 一 个 证 书 ,B 的 证 书 中 含有 签发 该 证 书 的 CA 的 信息 , 沿 着 层次 
树 往 上 找 , 可 以 构成 一 条 证 书 链 , 直 到 根 证 书 。 验 证 过 程 正好 沿 相 反 的 方向 ,从 根 证 书 开 始 ， 
依次 往 下 验证 每 一 个 证 书 中 的 签名 ,一 直到 验证 B 的 证 书 中 的 签名 。 如 果 所 有 的 签名 验证 
都 通过 , 则 A 可 以 确定 所 有 的 证 书 都 是 正确 的 ,如 果 他 信任 根 CA, 则 他 可 以 相信 B 的 证 书 
和 公 钥 。 

例如 终端 实体 A 持 有 可 信 根 CA 的 公 钥 , 它 需要 去 验证 男 一 个 终端 实体 B 的 证 书 , 而 B 
的 证 书 是 由 CA， 签发 的 ,而 CAs 的 证 书 是 由 CA 签发 的 ,CAi 的 证 书 是 由 根 CA 签发 的 。 
则 A 首先 使 用 根 CA 的 公 钥 验证 CA 的 证 书 , 验 证 通过 后 ,使 用 所 提取 CA 的 公 钥 来 验证 
CAs 的 公 钥 ,类 似 地 可 以 得 到 CA 的 公 钥 ,最 后 A 使 用 CA， 的 公 钥 验证 B 的 证 书 ,从 而 获 
取 B 的 公 钥 信息 。 至 此 ,A 可 以 使 用 B 的 公 钥 进行 加 密 或 者 验证 数字 签名 。 


8.4.2 分 布 式 信任 结构 模型 


与 严格 层次 结构 相反 ,分布 式 信任 结构 把 信任 分 散 到 两 个 或 更 多 个 CA 上 。 更 准确 地 
说 ,A 把 CA; 的 公 钥 作为 它 的 信任 锚 , 而 也 可 以 把 CA: 的 公 钥 作为 它 的 信任 锚 。 因 为 这 些 
CA 的 密 钥 都 作为 信任 锚 , 因 此 相应 的 CA 必须 是 整个 PKI 群体 的 一 个 子 集 所 构成 的 严格 
层次 结构 的 根 CA(CCA; 是 包括 A 在 内 的 层次 结构 的 根 ,CA。 是 包括 B 在 内 的 层次 结构 
的 根 ) 。 

如 果 这 些 严格 层次 结构 都 是 可 信和 颁发 者 层次 结构 ,那么 该 总 体 结 构 被 称 作 完全 同位 体 
结构 (Fully Peered Architecture) ,因为 所 有 的 CA 实际 上 都 是 相互 独立 的 同位 体 ( 在 这 个 结构 
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中 没有 子 CA)。 另 一 方面 ,如 果 所 有 的 严格 层次 结构 都 是 多 层 结 构 (Multi-Level Hierarchy)， 
那么 最 终 的 结构 就 被 叫做 满 树 结构 (Fully Treed Architecture)。 注 意 , 根 CA 之 间 是 同位 体 ， 
但 是 每 个 根 又 是 一 个 或 多 个 子 CA 的 上 级 。 最 终 的 结构 也 可 能 是 混合 结构 (Hybrid Treed 
Architecture)( 具 有 若干 个 可 信和 颁发 者 层次 结构 和 若干 个 多 层 树 型 结构 ) 。 一 般 说 来 ,完全 同 
位 体 结构 部 署 在 某 个 组 织 内 部 ,而 满 树 结构 和 混合 结构 则 是 在 原来 相互 独立 的 PKI 系统 之 
间 进 行 互 联 的 结果 。 在 不 同 的 同位 体 根 CA 之 间 的 互 连 过 程 则 被 称 为 交叉 认证 。 

交叉 认证 是 一 种 把 以 前 无 关 的 CA 连接 在 一 起 的 机 制 ,从 而 使 得 它们 各 自 的 实体 之 间 
的 安全 通信 成 为 可 能 。 交 叉 认 证 可 以 是 单 向 的 ,也 可 以 是 双向 的 。 如 果 A 被 CA 认证 ,并 
拥有 CA 的 公 钥 证 书 ; 也 被 CAs 认证 ,拥有 CA: 的 公 钥 证 书 。 如 果 CA， 和 CA 进行 了 双 
向 的 交叉 认证 后 , 则 A 可 以 使 用 其 所 信任 的 CA, 的 证 书 去 验证 CA， 的 证 书 , 验 证 通过 后 ， 
再 使 用 CA; 的 证 书 验证 B 的 证 书 。 同 样 ,B 也 可 以 类 似 地 验证 A 的 证 书 。 


8.4.3 Web 模型 


Web 模型 是 在 万 维 网 (World Wide Web) 上 诞生 的 , 它 的 构建 依赖 于 流行 的 浏览 器 。 
在 这 种 模型 中 ,许多 CA 的 公 钥 被 预 装 在 标准 的 浏览 器 上 。 这 些 公 钥 确定 了 一 组 浏览 器 用 
户 最 初 信任 的 CA。 尽 管 这 组 根 密 钥 可 以 被 用 户 修改 ,然而 几乎 没有 普通 用 户 对 于 PKI 和 
安全 问题 能 精通 到 可 以 进行 这 种 修改 的 程度 。 

初 看 之 下 ,这 种 模型 似乎 与 分 布 式 信任 结构 模型 相似 ,但 从 根本 上 讲 , 它 更 类 似 于 认证 
机 构 的 严格 层次 结构 模型 。Web 模型 通过 与 相关 域 进 行 互 连 而 不 是 扩大 现 有 的 主体 群体 ， 
来 使 A 成 为 浏览 器 中 所 给 出 的 所 有 域 的 依托 方 。 实 际 上 ,每 个 浏览 器 厂商 都 有 自己 的 根 ， 
并 且 由 厂商 认证 嵌入 到 浏览 器 中 的 CA。 但 根 CA 并 不 被 浏览 器 厂商 的 根 所 认证 ,而 是 物理 
地 在 入 软件 来 发 布 ,作为 对 CA 名 字 和 它 的 密 钥 的 安全 绑 定 。 实 质 上 ,这 是 一 种 有 隐 含 根 的 
严格 层次 结构 (更 准确 地 说 浏览 器 厂商 是 实质 上 的 根 CA, 而 层次 结构 中 下 面 的 第 一 层 则 是 
所 有 的 已 嵌入 的 CA 的 密 钥 )。 

Web 模型 在 方便 性 和 简单 互 操作 性 方面 有 明显 的 优势 ,但 是 也 存在 许多 安全 隐患 。 例 
如 ,因为 浏览 器 的 用 户 自动 地 信任 预 安装 的 所 有 公 钥 ,所 以 如 果 这 些 根 CA 中 有 一 个 是 有 问 
题 的 ,安全 性 将 被 完全 破坏 。A 将 相信 任何 声称 是 B 的 证 书 都 是 B 的 合法 证 书 , 即 使 它 实 
际 上 只 是 由 可 以 将 公 钥 能 入 浏览 器 中 的 CA 签署 的 挂 在 B 名 下 的 C 的 公 钥 。 这 样 ,A 就 可 
能 无 意 间 向 C 透露 机 密 或 接受 C 伪造 的 数字 签名 。 这 种 假冒 能 够 成 功 的 原因 是 : A 一 般 不 
知道 收 到 的 证 书 是 由 哪 一 个 根 密 钥 验证 的 。 在 嵌入 到 其 浏览 器 中 的 多 个 根 密 钥 中 ,A 可 能 
只 认可 所 给 出 的 一 些 CA, 但 并 不 了 解 其 他 CA。 在 Web 模型 中 ,A 的 软件 平等 而 无 任何 疑 
问 地 信任 这 些 CA ,并 接受 它们 中 的 任何 一 个 签署 的 证 书 。 

另外 一 个 潜在 的 安全 隐患 是 没有 实用 的 机 制 来 撤销 嵌入 到 浏览 器 中 的 根 密 钥 。 如 果 发 
现 一 个 根 密 钥 是 有 问题 的 或 者 与 根 的 公 钥 相 应 的 私 钥 被 泄密 了 ,要 使 全 世界 数 百 万 个 浏览 
器 都 自动 地 撤销 该 密 钥 的 使 用 是 不 可 能 的 。 这 是 因为 无 法 保证 这 个 撤销 的 信息 能 传达 到 所 
有 的 浏览 器 ,而且 即便 通知 了 浏览 器 ,浏览 器 也 没有 处 理 这 个 撤销 消息 的 功能 。 因 此 ,从 浏 
览 器 中 去 除 坏 密 钥 需要 全 世界 的 每 个 用 户 都 同时 采取 明确 的 动作 ; 否则 ,一 些 用 户 将 是 仍 
处 于 危险 之 中 。 但 是 这 样 一 个 全 世界 范围 内 的 同时 动作 是 不 可 能 实现 的 。 

最 后 ,该 模型 还 缺少 在 CA 和 用 户 之 间 建 立 合 法 协议 的 有 效 方法 ,该 协议 的 目的 是 使 
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CA 和 用 户 共同 承担 责任 。 因 为 ,浏览 器 可 以 自由 地 从 不 同 站 点 下 载 ,也 可 以 预 装 在 操作 系 
统 中 ; CA 不 知道 也 无 法 确定 它 的 用 户 是 谁 ,并 且 一 般 用 户 对 PKI 也 缺乏 足够 的 了 解 ,因此 
不 会 主动 与 CA 直接 接触 。 这 样 ,所 有 的 责任 最 终 或 许 都 会 由 用 户 承 担 。 


8.4.4 以 用 户 为 中 心 的 信任 模型 


在 一 般 被 称 作 以 用 户 为 中 心 的 信任 模型 中 ,每 个 用 户 都 对 决定 信赖 哪个 证 书 和 拒绝 哪 
个 证 书 直 接 完 全 地 负责 。 在 这 个 信任 模型 中 ,没有 专门 的 CA 中 心 ,每 个 用 户 可 以 向 他 所 信 
任 的 人 签发 公 钥 证 书 ,通过 这 样 的 方式 建立 一 个 信任 网 。 

PGP( 相 当 好 的 保密 ?使 用 的 就 是 以 用 户 为 中 心 的 信任 模型 。 在 PGP 中 ,一 个 用 户 通过 
担当 CA 的 角色 并 使 其 公 钥 被 其 他 人 所 认证 来 建立 信任 网 。 例 如 , 当 A 收 到 一 个 据 称 属于 
B 的 证 书 时 ,她 发 现 这 个 证 书 是 由 她 不 认识 的 C 签署 的 ,而 C 的 证 书 是 由 她 认识 并 且 信 任 
的 D 签署 的 。 那 么 ,A 可 以 先 验证 D 的 证 书 , 然 后 再 验证 B 的 证 书 , 从 而 决定 信任 B 的 密 
钥 ,A 也 可 以 决定 不 信任 B 的 密 钥 。 

因为 要 依赖 于 用 户 自身 的 行为 和 决策 能 力 , 因 此 以 用 户 为 中 心 的 模型 在 技术 水 平 较 高 
和 利害 关系 高 度 一 致 的 群体 中 是 可 行 的 ,但 是 在 一 般 的 群体 (其 用 户 有 极 少 或 者 没有 安全 及 
PKI 的 概念 ) 中 是 不 现实 的 。 这 种 模型 一 般 不 适合 用 在 贸易 、 金 融 或 政府 环境 中 ,因为 在 这 
些 环境 下 ,通常 希望 或 需要 对 用 户 的 信任 实行 某 种 控制 ,显然 这 样 的 信任 策略 在 以 用 户 为 中 
心 的 模型 中 是 不 可 能 实现 的 。 


8.5 PKI 的 相关 标准 


从 整个 PKI 体系 建立 与 发 展 的 历程 来 看 ,与 PKI 相关 的 标准 主要 包括 以 下 一 些 内 容 。 
8.5.1 X.209 ASN.1 基 本 编码 规则 


ASN. 1 是 描述 在 网 络 上 传输 信息 格式 的 标准 方法 。 它 由 两 部 分 组 成 : 第 1 部 分 (ISO 
8824/ITU X. 208) 描 述 信息 内 的 数据 .数据 类 型 及 序列 格式 ,也 就 是 数据 的 语法 ; 第 2 部 分 
(ISO 8825/ITU X. 209) 描 述 如 何 将 各 部 分 数据 组 成 消息 ,也 就 是 数据 的 基本 编码 规则 。 

ASN. 1 原来 是 作为 X. 409 的 一 部 分 而 开发 的 ,后 来 才 独 立地 成 为 一 个 标准 。 这 两 个 协 
议 除 了 在 PKI 体系 中 被 应 用 外 ,还 被 广泛 应 用 于 通信 和 计算 机 的 其 他 领域 。 


8.5.2 X.S00 


人 们 经 常 需要 查询 网 络 上 的 对 象 信息 ,如 和 人、 组 织 、 国 家 、 计 算 机 ,其 至 可 以 是 计算 机 中 
的 某 个 网 络 通信 进程 。 虽然 这 些 对 象 在 不 断 变化 着 ,相对 于 查询 的 频率 而 言 ,对 象 信息 的 稳 
定时 间 是 较 长 的 。 而 且 在 查询 中 ,人 们 希望 根据 对 方 的 名 字 , 而 不 是 计算 机 的 地 址 进行 查 
询 , 而 且 地 址 也 比 名 字 更 容易 变化 ,所 以 经 常 要 做 “名 字 - 地 址 映射 。 基 于 这 种 需求 ,人 们 开 
发 了 目录 服务 网 络 应 用 。 目 录 中 按 一 定 的 格式 记录 了 现实 世界 中 大 量 对 象 的 信息 ,供用 户 
(人 、 计 算 机 应 用 程序 等 ) 做 各 种 频繁 查询 和 相对 少量 的 修改 。 实 现 目 录 服 务 的 方式 有 多 种 ， 
但 目前 趋 于 统一 到 ITU-X. 500 系列 建议 标准 。 
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X. 500 是 一 套 已 经 被 国际 标准 化 组 织 (ISO) 接 受 的 目录 服务 系统 标准 , 它 包 括 了 一 系 
列 完整 的 目录 数据 服务 ,定义 了 一 个 机 构 如 何在 全 局 范围 内 共享 其 名 字 和 与 之 相关 的 对 象 。 
X. 500 系列 建议 组 成 包括 : X. 500 是 目录 服务 的 概要 介绍 ; X. 501 定义 了 目录 服务 的 模型 ; 
X. 511 对 目录 的 各 种 抽象 服务 做 了 定义 ; X. 518 描述 分 布 操作 的 实现 过 程 ; X. 519 是 传输 
协议 ; X. 520 和 XX. 521 定义 了 常用 对 象 类 和 属性 ; X. 509 提出 了 一 种 认证 的 框架 ; X. 525 
规定 了 备份 。 

X. 500 是 层次 性 的 ,其 中 的 管理 域 ( 机 构 、 分 支 .部 门 和 工作 组 ) 可 以 提供 这 些 域内 的 用 
户 和 资源 信息 。 它 定义 一 个 机 构 如 何在 一 个 企业 的 全 局 范围 内 共享 名 字 和 与 它们 相关 的 对 
象 。X. 500 规定 总 体 命名 方式 ,全 球 统一 的 名 字 空 间 。X. 500 目录 服务 可 以 向 需要 访问 网 
络 任何 资源 的 电子 文件 系统 和 应 用 ,或 需要 知道 网 络 上 的 实体 名 字 和 地 点 的 管理 系统 提供 
信息 。 一 个 完整 的 X. 500 系统 称 为 一 个 目录 。 这 个 目录 是 一 个 数据 库 , 称 为 目录 信息 数据 
库 (DIB) 。 在 数据 库 中 的 实体 被 称 为 对 象 。 对 象 包括 这 个 对 象 的 描述 信息 、 分 用 户 对 象 和 
资源 对 象 ,如 打印 机 对 象 。X. 500 系列 建议 的 目录 服务 是 分 布 式 的 。 每 个 目录 的 用 户 由 一 
个 目录 用 户 代理 (Directory User Agent,DUA) 代 表 , 它 就 是 用 户 用 于 访问 目录 服务 的 进 
程 。 在 用 户 看 来 ,整个 目录 在 逻辑 上 是 统一 的 整体 ,但 实际 上 目录 信息 可 以 分 布 在 不 同 组 织 
管理 的 计算 机 上 。 这 些 计 算 机 中 运行 的 相互 配合 提供 服务 的 进程 是 目录 服务 代理 
(Directory Server Agent,DSA) 。 

一 个 DSA 收 到 操作 请 求 后 ,如 果 它 本 地 的 目录 信息 能 够 完成 此 操作 , 它 就 返回 结果 ,和 否 
则 DSA 有 两 种 选择 : 它 可 以 把 请 求 转发 给 存 有 相关 目录 信息 的 DSA, 收 集 它们 返回 的 结 
果 , 再 把 结果 送 回 请 求 者 ; 它 也 可 以 直接 向 请 求 者 返回 一 个 参考 指针 ,告诉 请 求 者 相关 的 
DSA 的 访问 地 址 ,由 请 求 者 自己 和 此 DSA 联系 。 目 录 的 分 布 式 操 作 都 基于 这 两 种 简单 的 
操作 模式 。 

全 部 目录 信息 分 布 在 许多 DSA 中 ,这 些 DSA 在 不 同 的 国家 受 不 同 组 织 的 管理 。 一 个 
组 织 管理 的 全 部 DSA 和 DUA 组 成 一 个 目录 管理 域 (Directory Management Domain， 
DMD)。 这 些 DSA 中 存储 的 条 目 构成 目录 信息 树 (Directory Information Tree,DIT) 域 ,一 
个 DIT 域 即 是 全 部 目录 信息 树 的 一 部 分 。DIT 域 中 的 条 目 总 可 以 分 成 不 相交 的 若干 子 树 ， 
每 一 个 子 树 叫 做 一 个 自治 管理 区 。 自 治 管理 区 是 目录 管理 的 独立 单位 ,各 个 自治 管理 区 独 
自 管理 自己 的 子 树 。 自 治 管理 区 下 又 可 分 为 一 个 或 多 个 特定 管理 区 ,每 个 特定 管理 区 独立 
负责 它 所 辖 条 目 特定 方面 的 事务 (如 存 取 控制 .目录 构成 规则 等 )。 特 定 管理 区 又 可 分 成 内 
部 管理 区 ,内 部 管理 区 可 以 嵌 套 , 它 对 自己 内 部 的 条 目 有 一 定 管理 权限 ,同时 又 受到 上 级 特 
定 内 部 管理 区 的 管理 ,实现 了 有 限 代理 管理 机 制 。 这 样 一 个 单位 既 对 全 单位 的 条 目 有 管理 
权 , 又 可 下 放 一 部 分 权限 给 下 属 部 门 , 由 他 们 自己 管理 。 

目录 为 用 户 (DUA) 提 供 了 9 种 操作 ,主要 分 成 两 类 : 第 一 类 是 对 目录 信息 的 检测 ,包括 
读 属性 、 比 较 、 列 出 下 级 条 目 等 ; 第 二 类 操作 涉及 对 目录 中 条 目的 修改 ,包括 添加 一 个 条 目 、 
删除 条 目 、 修 改 条 目 等 。X. 500 定义 了 实现 目录 服务 时 网 络 中 的 传输 协议 : DSA 之 间 的 通 
言 协议 称 为 目录 系统 协议 (DSP),DSA 和 DUA 之 间 使 用 目录 访问 协议 (DAP) ,用 户 的 操作 
请 求 和 结果 都 是 通过 DAP 协议 传输 的 。 这 两 个 协议 基于 OSI 七 层 模型 ,它们 都 是 应 用 层 
协议 ,必须 有 表示 层 、 会 话 层 等 层 协议 的 支持 ,所 以 协议 开销 比较 大 ,对 计算 机 的 要 求 较 高 。 

总 结 而 言 ,X. 500 所 规定 的 目录 服务 有 以 下 特点 。 
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(1) 分 布 性 : 目录 信息 分 布 在 各 地 的 计算 机 中 ,并 由 各 组 织 管理 , 既 保 证 了 目录 信息 总 
体 结构 一 致 ,又 满足 了 分 级 管理 的 需要 。 

(2) 灵活 性 : 规模 可 大 可 小 ,大 到 全 球 , 小 到 只 有 一 台 DSA 的 单位 ,X. 500 系列 目录 服 
务 都 能 胜任 ,并 且 容 易 扩展 。 

(3) 查询 灵活 : X. 500 系列 定义 的 操作 提供 了 非常 灵活 的 查询 条 件 ,并 且 还 可 根据 需 
要 扩展 ,可 满足 复杂 的 查询 需求 。 

(4) 平台 无 关 : 所 使 用 的 通信 协议 框架 是 OSI 七 层 模型 ,完全 与 平台 无 关 , 保 证 各 种 类 
型 计算 机 在 目录 服务 中 的 互 操作 性 。 

(5) 全 球 统一 的 名 称 空间 : X. 500 系列 建议 规定 了 总 体 命 名 方式 ,虽然 目录 信息 库 中 
存放 着 各 种 类 型 的 对 象 的 信息 ,但 对 象 的 名 称 结构 都 是 相同 的 。 

(6) 安全 性 : X. 501 建议 规定 了 存 取 控 制 方案 ,充分 保证 条 目 信 息 的 安全 ,同时 又 便于 
管理 者 对 用 户 的 存 取 权限 进行 控制 。X. 509 建议 提出 了 一 个 基于 公开 密 钥 加 密 体制 的 认证 
框架 ,利用 此 框架 ,目录 服务 可 以 为 其 他 应 用 提供 完善 的 身份 认证 服务 。 

在 PKI 体系 中 ,X.500 被 用 来 唯一 标识 一 个 实体 ,该 实体 可 以 是 机 构 、 组 织 、 个 人 或 一 
台 服 务 器 。X. 500 被 公认 为 是 实现 一 个 目录 服务 的 最 好 途径 ,但 是 它 的 实现 需要 很 大 投资 ， 
效率 不 高 ,在 实际 应 用 中 存在 着 不 少 障碍 。DAP 对 相关 层 协议 环境 要 求 过 多 ,在 许多 小 系 
统 上 无 法 使 用 ,也 不 适应 TCP/IP 协议 体系 。 鉴 于 此 ,出现 了 DAP 的 简化 版 LDAP。 


8.5.3 X.509 


X. 509 是 由 国际 电信 联盟 制定 的 数字 证 书 标准 。 在 X. 500 确保 用 户 名 称 唯一 性 的 基 
础 上 ,X. 509 为 X. 500 用 户 名 称 提供 了 通信 实体 的 认证 机 制 ,并 规定 了 实体 认证 过 程 中 广 
泛 适用 的 证 书 语法 和 数据 接口 。 

在 X. 509 方案 中 ,默认 的 加 密 机 制 是 公 钥 密码 机 制 。X. 509 的 最 初版 本 公布 于 1988 
年 。X. 509 证 书 由 用 户 公 共 密 钥 和 用 户 标 识 符 组 成 。 此 外 还 包括 版 本 号 、 证 书 序列 号 .CA 
标识 符 、 签 名 算法 标识 、 签 发 者 名 称 、 证 书 有 效 期 等 信息 。 这 一 标准 的 最 新 版 本 是 X. 509 
v3, 它 定义 了 包含 扩展 信息 的 数字 证 书 。 该 版 数字 证 书 提供 了 一 个 扩展 信息 字段 ,用 来 提供 
更 多 的 灵活 性 及 特殊 应 用 环境 下 所 需 的 信息 传送 。X. 509 v4 版 本 已 经 被 推出 。 目 前 ， 
X. 509 标准 已 用 于 许多 网 络 安全 应 用 程序 ,包括 IP 安全 (IPSec) 安全 套 接 层 (SSL) .安全 
电子 交易 (SET) ,安全 多 媒体 Internet 邮件 扩展 (S/MIME) 等 。 

在 X. 509 标准 中 ,PKI 起 到 了 重要 的 作用 ,PKI 是 在 X. 509 基础 上 发 展 起 来 的 。X. 509 
标准 的 范围 包括 以 下 4 个 方面 。 

。 具体 说 明了 目录 的 认证 信息 的 形式 。 

。 描述 如 何 从 目录 获取 认证 信息 。 

。 说明 如 何在 目录 中 构成 和 存放 认证 信息 的 假设 。 

。 定义 各 种 应 用 使 用 的 认证 消息 的 执行 方法 。 

该 标准 定义 了 以 下 技术 术语 ,本 文中 对 其 中 一 些 给 出 了 详细 讨论 。 

。 属性 证 书 (Attribute Certificate): 将 用 户 的 一 组 属性 和 其 他 信息 ,通过 认证 机 构 的 

私 钥 进行 数字 签名 ,使 其 成 为 不 可 伪造 的 用 于 证 书 的 扩展 。 
。 认证 令 牌 (Authentication Token ): 在 强 认证 交换 期 间 运行 的 信息 ,用 于 认证 其 发 送 者 。 
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。 用 户 证 书 、 公 和 钥 证 书 .证 书 (User Certificate、Public Key Certificate Certificate) : 颁 
发 机 构 使 用 其 私 钥 进 行 签名 的 用 户 的 公 钥 和 一 些 相关 信息 。 

。 CA 证 书 (CA-Certificate): 由 一 个 CA 颁发 给 另 一 个 CA 的 证 书 。 

。 证 书 策略 (Certificate Policy): 已 命名 的 一 组 规则 ,指明 证 书 对 特定 的 组 合 具 有 公共 
安全 要 求 的 应 用 类 别 的 适用 性 。 

。 证 书 用 户 (Certificate User) : 需要 确切 知道 另 一 个 实体 公 钥 的 某 个 实体 。 

。 证 书 使 用 系统 (Certificate-Using System) : 在 本 目录 规范 定义 的 由 正式 用 户 所 使 用 
的 功能 实现 。 

。 认证 机 构 (Certificate Authority): 受用 户 信任 的 机 构 , 负 责 创建 和 分 配 证 书 。 

。 认证 路 径 (Certification Path): 目录 信息 树 中 客体 证 书 的 有 序 系列 , 它 和 在 该 路 径 
的 最 初 客体 的 公 钥 一 起 ,可 以 被 处 理 以 获得 该 路 径 的 最 终 客体 的 公 钥 。 

。 CRL 分 布点 (CRL Distribution Point) : 通过 CRL 分 布点 所 分 布 的 CRL, 可 以 含有 
某 个 CA 颁发 的 证 书 全 集中 的 某 个 子 集 的 撤销 项 ,或 者 含有 多 个 CA 的 撤销 项 。 

。 密码 体制 (Cryptographic System): 从 明文 到 密 文 和 从 密 文 到 明文 的 变换 汇集 ,使 
用 的 特定 变换 由 密 钥 来 选 定 。 通 常用 一 个 数学 算法 来 定义 这 些 变 换 。 

。 A-CRL(delta-CRL): 仅 指 示 自 CRL 颁发 以 来 变更 的 一 部 分 CRL。 

。 端 实体 (End Entity): 不 是 为 签署 证 书 的 目的 而 使 用 其 公 钥 的 证 书 主体 。 

。 密 钥 协定 (Key Agreement): 无 须 传送 甚至 是 加 密 形式 的 密 钥 , 在 线 协商 密 钥 值 的 
一 种 方法 。 

。 策 略 映 射 (Policy Mapping): 当 某 个 域 中 的 一 个 CA 认证 了 另 一 个 域 中 的 一 个 CA 
时 ,对 在 第 2 个 域 中 的 一 个 特定 证 书 策略 ,可 能 被 第 1 个 CA 域 中 的 认证 机 构 认 为 
是 等 价 于 第 1 个 域 中 的 一 个 特定 证 书 政策 的 认可 。 

。 简单 认证 (Simple Authentication) : 借助 简单 密码 分 配方 法 进行 的 认证 。 

。 强 认 证 (Strong Authentication) : 借助 密码 派生 凭证 方法 进行 的 认证 。 

。 安全 策略 (Security Policy): 由 管理 安全 服务 和 设施 的 使 用 和 提供 的 安全 机 构 所 拟 
定 的 一 组 规则 。 

。 信任 (Trust) : 当 第 1 个 实体 假设 第 2 个 实体 完全 按照 第 1 个 实体 的 期 望 进行 动作 
时 , 则 称 第 1 个 实体 “信任 "第 2 个 实体 。 在 认证 框架 中 ,信任 ”的 关键 作用 是 描述 
鉴别 实体 和 认证 机 构 之 间 的 关系 ; 一 个 鉴别 实体 应 确信 它 “ 信 任 ” 的 认证 机 构 可 以 
创建 有 效 、 可 靠 的 证 书 。 

。 证 书 序列 号 (Certificate Serial Number) : 在 颁发 证 书 的 CA 范围 内 的 唯一 数值 ,该 
整数 值 无 歧义 地 与 那个 CA 所 颁发 的 一 个 证 书 相关 联 。 


除 此 之 外 ,还 有 一 些 我 们 在 前 面 章节 中 已 经 介绍 的 概念 ,如 单 向 函数 、 散 列 函 数 . 公 钥 、 
私 钥 等 。 
第 8. 2 节 中 给 出 了 证 书 和 CRL 的 基本 格式 ,X. 509 中 还 规定 了 对 证 书 和 CRL 在 以 下 
领域 的 扩展 。 
。 密码 和 策略 信息 : 这 些 证 书 和 CRL 对 所 涉及 的 密 钥 的 附加 信息 进行 扩展 ,如 主体 密 
钥 和 颁发 者 密 钥 的 密 钥 标识 符 、 预 期 的 或 受 限 的 密 钥 用 法 的 指示 符 和 证 书 策略 的 指 
示 符 。 
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主体 属性 和 颁发 者 属性 : 这 些 证 书 和 CRL 扩展 支持 证 书 主体 .证 书 颁发 者 或 CRL 
颁发 者 不 同名 称 形式 的 可 替换 名 称 。 这 些 扩展 也 可 传送 关于 证 书 主体 的 附加 属性 
信息 ,以 帮助 证 书 用 户 确信 证 书 主体 是 一 个 特定 的 个 人 或 实体 。 

认证 路 径 限 制 : 认证 路 径 限 制 确定 了 CA 证 书 的 一 些 限制 规范 , 即 由 另 一 CA 颁发 
给 某 一 个 CA 的 证 书 , 当 包括 多 个 证 书 策略 时 ,以 便于 自动 化 处 理 证 书 路 径 。 当 对 
于 某 一 环境 中 的 不 同 应 用 而 言 策略 不 同时 ,或 者 当 与 外 部 环境 发 生 互 操作 时 , 则 出 
现 了 多 个 证 书 策略 。 这 些 限制 可 以 限制 由 CA 主体 所 颁发 的 证 书 类 型 ,或 者 在 认证 
路 径 上 后 续 可 以 出 现 的 证 书 类 型 。 

基本 的 CRL 扩展 : 允许 CRL 包括 撤销 原因 的 指示 ,提供 一 个 证 书 的 临时 暂停 和 包 
括 CRL 颁布 序列 号 ,而 该 序列 号 允许 证 书 的 用 户 在 来 自 某 一 个 CRL 颁发 者 的 序列 
中 检测 到 丢失 的 CRL。 

CRL 分 布点 和 A-CRL: 这 些 证 书 和 CRL 扩展 允许 把 来 自 某 一 个 CA 的 完整 的 撤销 
信息 集合 分 配 到 若干 独立 的 CRL, 并 且 人 允许 把 来 自 多 个 CA 的 撤销 信息 合并 到 某 一 个 
CRL。 这 些 扩 展 还 支持 自 先 前 的 CRL 颁发 以 来 仅 指示 变化 的 部 分 CRL 的 使 用 。 


包含 在 证 书 或 CRL 中 的 任何 扩展 都 是 颁发 该 证 书 或 CRL 的 认证 机 构 的 可 选项 。 在 证 
书 或 CRL 中 ,扩展 被 标志 为 关键 的 或 非 关键 的 。 如 果 扩 展 被 标志 为 关键 的 ,并 且 证 书 使 用 
系统 不 能 识别 出 该 扩展 字段 类 型 ,或 者 没有 实现 扩展 的 语义 , 则 系统 认为 该 证 书 无 效 。 如 果 
扩展 被 标志 为 非 关键 的 , 则 不 能 识别 出 或 实现 相应 扩展 的 证 书 使 用 系统 可 以 忽略 该 证 书 的 
扩展 部 分 。 

X. 509 标准 中 描述 了 两 种 认证 : 简单 认证 (使 用 密码 作为 身份 的 认证 ) 和 强 认 证 (使 用 
密码 技术 实现 认证 ) 。 

1. 简单 认证 

简单 认证 提供 建立 在 用 户 标 识 符 、 双 方 协商 的 密码 ,以 及 某 个 单一 区 域 中 双方 可 理解 的 
密码 的 使 用 和 处 理 方法 之 上 的 本 地 认证 方法 。 简 单 认 证 一 般 只 用 于 本 地 的 对 等 实体 , 即 一 
个 DUA 和 一 个 DSA 之 间 , 或 一 个 DSA 与 另 一 个 DSA 之 间 的 鉴别 。 通常 可 以 采用 以 下 
3 种 方法 实现 简单 鉴别 。 

第 1 种 方法 是 以 清楚 明确 ( 即 无 保护 ) 的 方法 将 用 户 的 可 标识 符 和 密码 传送 给 接收 方 ， 
以 待考 察 ,其 处 理 过 程 如 下 。 

(1) 发 送 方 用 户 A 将 其 标识 符 和 密码 发 送 给 接收 方 用 户 B。 

(2) 用 户 了 将 用 户 A 声明 的 标识 符 和 口令 发 送 给 目录 ,然后 目录 用 比较 操作 ,检查 与 
用 户 A 有 关 的 目录 项 的 用 户 密码 。 

(3) 目录 向 用 户 B 返 回 证 实 ( 或 否认 ) 该 口令 是 否 有 效 的 信息 。 

(4) 用 户 B 可 以 向 用 户 A 发 送 认 证 结果 , 即 成 功 或 失败 信息 。 

第 2 种 方法 是 将 用 户 的 标识 符 、 密 码 , 以 及 一 个 随机 数 和 /或 时 间 标 记 通 过 使 用 单 向 函 
数 进行 保护 并 传送 。 办 

第 3 种 方法 是 将 第 2 种 方法 连同 一 个 随机 数 和 /或 时 间 CC ,DB 
标记 一 起 通过 使 用 单 向 函数 进行 保护 ,然后 再 传送 。 图 8. 5 
显示 了 有 保护 的 简单 认证 过 程 。 图 8.5 有 保护 的 简单 认证 过 程 
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(1) 发 送 方 A 使 用 单 向 函数 有 i 得 到 认证 码 , 向 也 发 送 如 下 信息 。 
tA,gA,A,(tA,qA,A,passwaA) 
其 中 ,ts 是 时 间 截 ; gs 是 随机 数 ,主要 用 于 减少 重 放 和 隐藏 密码 ,并 使 用 散 列 函数 对 时 间 
戳 、 随 机 数 、 标 识 符 和 密码 进行 计算 。 

(2) B 收 到 上 述 信 息 后 ,使 用 收 到 的 信息 和 本 地 存储 的 密码 进行 单 向 计算 ,将 计算 的 结 
果 和 收 到 的 散 列 值 进行 比较 ,如 果 一 致 , 则 返回 核实 结果 (证 实 或 拒绝 ) 给 A。 

2. 强 认证 

X. 509 标准 中 采用 的 强 认证 方法 是 利用 公 钥 密码 体制 来 实现 的 。 该 认证 框架 并 不 限定 
使 用 某 个 特定 的 密码 体制 ,适用 于 任何 公开 密码 体制 。 但 是 ,两 个 需要 互相 认证 的 用 户 必须 
支持 相同 的 密码 算法 。 

每 个 用 户 都 可 用 其 所 拥有 的 私 钥 来 标识 。 一 个 用 户 则 可 根据 其 通信 对 方 是 否 拥 有 这 个 
私 钥 来 确定 他 是 否 确 实 为 授权 用 户 。 一 个 用 户 若 要 确定 其 通信 对 方 是 否 拥有 该 用 户 的 私 
钥 , 他 就 必须 拥有 该 用 户 的 公 钥 。 用 户 的 公 钥 值 可 以 直接 从 目录 的 用 户 项 中 获得 。 

对 一 个 用 户 来 说 ,为 了 信任 该 认证 过 程 , 他 可 以 选择 从 其 信任 的 机 构 获 得 其 他 用 户 的 公 
钥 。 这 个 可 被 公众 信任 的 机 构 , 即 为 认证 机 构 CA。 

如 前 所 述 ,这 里 提 到 的 证 书 具有 以 下 特征 。 

。 任何 访问 认证 机 构 的 公 钥 用 户 ,都 可 以 申请 并 得 到 已 被 CA 认证 的 公 角 证书。 

。 除 认证 机 构 外 ,没有 任何 其 他 组 织 能 够 修改 这 个 证 书 而 不 被 查 出 。 

下 面 是 3 种 常见 的 强 认证 方法 ,其 中 采用 的 符号 描述 方法 和 前 面 章节 有 所 不 同 , 这 里 给 
出 说 明 : X{ 了 表示 用 户 X 对 信息 工 的 数字 签名 , 它 包 含 信息 I 及 其 散 列 值 。 

(1) 单 向 认证 : 由 A 单一 地 向 B 传送 认证 信息 的 过 程 ,如 图 8.6 所 示 。 

其 中 ,ta 是 时 间 蕉 ,ra 是 随机 数 ,sgnData 是 一 个 附加 信息 ,为 由 签名 者 提供 的 数据 源 
认证 。A 使 用 自己 的 私 钥 对 这 些 信 息 进 行 数字 签名 。B 收 到 后 首先 验证 签名 是 否 合法 ,再 
通过 检查 ta。 和 ra 来 判断 该 消息 是 否 为 重 放 消息 。 这 种 单 向 认证 方式 可 以 用 于 网 上 银行 的 
B2C 认证 , 即 银 行 B 认证 客户 A 的 情况 中 。 

(2) 双向 认证 : 除了 单 向 认证 过 程 ,B 还 将 对 A 给 出 应 答 ,如 图 8.7 所 示 。 

其 中 ,B 在 收 到 A 的 消息 后 ,经 检查 合法 , 则 生成 一 个 不 重复 的 随机 数 rs ,使 用 自己 的 
私 钥 对 rs 时间 蕉 is、A 的 标识 符 以 及 sgnData 进行 签名 ,发 送 给 A。A 对 于 B 的 应 答 进 行 
检查 ,判断 是 否 合法 。 这 种 双向 认证 方式 可 以 应 用 于 网 上 银行 的 B2B 交易 认证 ,银行 B 不 
但 要 认证 客户 A, 客 户 A 还 要 认证 银行 B 是 否 为 自己 真正 的 开户 行 。 

(3) 三 向 认证 : 在 双向 认证 的 基础 上 ,对 于 B 给 A 发 的 认证 消息 ,A 再 给 出 应 答 ,表示 
已 经 收 到 B 的 消息 并 给 予 了 响应 ,对 于 B 提供 的 随机 数 及 其 标识 符 进行 数字 签名 ,这 样 B 
在 收 到 A 再 次 返回 的 消息 ,就 认证 了 A。 三 向 认证 的 过 程 如 图 8. 8 所 示 。 


Af{tara:B,sgnData} 


Af{tasrasB,sgnData} 


MbpsgnD Se 
CQ {rsenDaal. (了 ) Bf{te.re, A,sgnData} 


图 8.6 单 向 认证 图 8.7 双向 认证 图 8.8 三 向 认证 
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8.5.4 PKCS 系列 标准 


公 钥 密码 标准 (Public Key Cryptography Standard ,PKCS) 是 由 美国 RSA 数据 安全 公 
司 及 其 合作 伙伴 制定 的 一 组 公 钥 密码 学 标准 ,其 中 包括 证 书 申请 、 证 书 更 新 .证 书 作废 表 发 
布 ,扩展 证 书 内 容 以 及 数字 签名 .数字 信封 的 格式 等 方面 的 一 系列 相关 协议 。 到 1999 年 底 ， 
PKCS 已 经 公布 了 以 下 标准 ,这 些 标准 主要 用 于 用 户 的 证 书 申请 、 证 书 更 新 过 程 ,以 及 在 
PKI 中 涉及 的 一 些 协议 及 相关 的 操作 中 。 
。 PKCS#1: 定义 RSA 公开 密 钥 算法 加 密 和 签名 机 制 ,主要 用 于 组 织 PKCS#7 中 所 
描述 的 数字 签名 和 数字 信封 。 
。 PKCS#3: 定义 Diffie-Hellman 密 钥 交 换 协 议 。 
。 PKCS#5: 基于 密码 的 加 密 标 准 。 描 述 了 使 用 由 密码 生成 的 密 钥 来 加 密 8 位 位 串 
并 产生 一 个 加 密 的 8 位 位 串 的 方法 。 主 要 用 于 密 钥 的 安全 传输 ,但 不 加 密 消息 。 
。 PKCS#6: 描述 了 公 钥 证 书 的 标准 语法 ,主要 描述 X. 509 证 书 的 扩展 格式 。 
。 PKCS#7: 定义 一 种 通用 的 消息 语法 ,包括 数字 签名 和 加 密 等 用 于 增强 的 加 密 机 
制 。PKCS#7 与 PEM 兼容 ,所 以 不 需 其 他 密码 操作 ,就 可 以 将 加 密 的 消息 转换 成 
PEM 消息 。 
。 PKCS# 8: 描述 私 钥 信 息 格式 ,该 信息 包括 公开 密 钥 算 法 的 私有 密 钥 以 及 可 选 的 属 
。 PKCS#9: 定义 了 一 些 用 于 PKCS#6 证 书 扩展 .PKCS#7 数字 签名 和 PKCS#8 私 
钥 加 密 信息 的 属性 类 型 。 
。 PKCS#10: 描述 证 书 请 求 语法 。 
。 PKCS#11: 称 为 Cyptoki, 定 义 了 一 套 独 立 于 技术 的 程序 设计 接口 ,用 于 智能 卡 和 
PCMCIA 卡 之 类 的 加 密 设 备 。 
。 PKCS#12: 描述 个 人 信息 交换 语法 标准 。 描 述 了 将 用 户 公 钥 、 私 钥 、 证 书 和 其 他 相 
关 信 息 打包 的 语法 。 
。 PKCS#13: 椭圆 曲线 密码 体制 标准 。 
。 PKCS#14: 伪 随 机 数 生成 标准 。 
。 PKCS#15: 密码 令 牌 信息 格式 标准 。 通 过 定义 令 牌 上 存储 的 密码 对 象 的 通用 格式 
来 增进 密码 令 牌 的 互 操作 性 。 


8.5.5 轻 量 级 目录 访问 协议 


轻 量 级 目录 访问 协议 (Lightweight Directory Access Protocol, LDAP) 的 目的 很 明确 ， 
就 是 要 简化 X. 500 目录 的 复杂 度 以 降低 开发 成 本 ,同时 适应 Internet 的 需要 ,所 以 被 称 为 
轻 量 级 的 目录 服务 。LDAP 在 功能 性 、 数 据 表示 、 编 码 和 传输 方面 都 进行 了 相应 的 修改 。 
LDAP 技术 发 展 很 快 ,在 企业 范围 内 实现 LDAP 可 以 让 几乎 所 有 计算 机 平台 上 的 所 有 应 用 
程序 从 LDAP 目录 中 获取 信息 。LDAP 目录 中 可 以 存储 各 种 类 型 的 数据 ,如 电子 邮件 地 
址 .邮件 路 由 信息 .人 力 资源 数据 库 . 公 钥 信 息 等 。 通 过 把 LDAP 目录 作为 系统 集成 中 的 一 
个 重要 环节 ,可 以 简化 员工 在 企业 内 部 查询 信息 的 步骤 。 

LDAP 已 经 成 为 目录 服务 的 标准 , 它 比 X. 500 DAP 协议 更 为 简单 实用 ,而 且 可 以 根据 
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需要 定制 ,因而 实际 应 用 也 更 为 广泛 。 与 X. 500 不 同 ,LDAP 支持 TCP/IP 协议 ,这 对 访问 
Internet 是 必需 的 。X. 500 采用 公 钥 基础 结构 (PKI) 作为 主要 的 认证 方式 ,而 LDAP 最 初 
并 不 考虑 安全 问题 ,目前 已 增加 安全 机 制 。 为 保证 数据 访问 安全 ,可 使 用 LDAP 的 ACL 
(访问 控制 列表 ) 来 控制 对 数据 读 和 写 的 权限 。LDAP 目前 有 两 个 版 本 : 第 2 版 LDAP v2 
和 第 3 版 LDAP v3。 基 于 LDAP v3 的 服务 器 可 以 让 普通 用 户 使 用 支持 LDAP 功能 的 Web 
浏览 器 ,进行 有 关 电 子 邮 件 用 户 的 查询 ,可 以 查询 的 用 户 属性 包括 姓名 、 电 话 号 码 、 电 子 邮 件 
地 址 、 地 址 信息 等 ; 系统 管理 员 可 以 通过 LDAP 客户 程序 进行 远程 目录 管理 操作 ,如 添加 、 
删除 .修改 用 户 账 户 信息 等 ; 可 以 请 求 服务 器 执行 扩展 操作 。1997 年 ,LDAP 第 3 版 本 成 为 
Internet 标准 。 目 前 ,LDAP v3 已 经 在 PKI 体系 中 被 广泛 应 用 于 证 书信 息 发 布 `.CRL 信息 
发 布 .CA 政策 以 及 与 信息 发 布 相关 的 各 个 方面 。 

LDAP 目录 以 树 状 的 层次 结构 来 存储 数据 ,LDAP 目录 记录 的 标识 名 用 来 读 取 单 个 记 
录 , 以 及 回溯 到 树 的 顶部 。 在 LDAP 中 ,目录 是 按照 树 型 结构 组 织 的 ,目录 由 条 目 (Entry) 
组 成 ,条 目 相当 于 关系 数据 库 中 表 的 记录 ; 条 目 具 有 标识 名 DN 的 属性 (Attribute) 集合， 
DN 相当 于 关系 数据 库 表 中 的 主键 (Primary Key); 属性 由 类 型 (Type) 和 多 个 值 (Values) 
组 成 ,相当 于 关系 数据 库 中 的 域 (Field) ,由 域名 和 数据 类 型 组 成 。 为 了 方便 检索 的 需要 ， 
LDAP 中 的 Type 可 以 有 多 个 Value, 而 不 像 关系 数据 库 中 为 降低 数据 的 元 余 性 ,要 求实 现 
的 各 个 域 必须 是 不 相关 的 。LDAP 中 条 目的 组 织 一 般 按照 地 理 位 置 和 组 织 关 系 进行 组 织 ， 
非常 直观 。LDAP 把 数据 存放 在 文件 中 ,为 提高 效率 可 以 使 用 基于 索引 的 文件 数据 库 ,而 不 
是 关系 数据 库 。LDAP 协议 集 还 规定 了 可 识别 的 标识 符 的 命名 方法 , 存 取 控制 方法 .搜索 格 
式 、 复 制 方法 .URL 格式 、 开 发 接口 等 ,LDAP 对 于 存储 这 样 的 信息 最 为 有 用 ,也 就 是 数据 需 
要 从 不 同 的 地 点 读 取 ,但 是 不 需要 经 常 更 新 。 

如 果 需 要 开发 一 种 提供 公共 信息 查询 的 系统 ,一 般 的 设计 方法 可 能 是 采用 基于 Web 的 
数据 库 设计 方式 , 即 前 端 使 用 浏览 器 而 后 端 使 用 Web 服务 器 加 上 关系 数据 库 。 但 这 种 方法 
的 缺点 是 后 端 关系 数据 库 的 引入 将 导致 系统 整体 的 性 能 降低 和 对 系统 的 管理 比较 烦琐 , 因 
为 需要 不 断 地 进行 数据 类 型 的 验证 和 事务 的 完整 性 确认 ; 并 且 前 端 用 户 对 数据 的 控制 不 够 
灵活 ,用 户 权 限 的 设置 一 般 只 能 是 设置 在 表 一 级 而 不 是 设置 在 记录 一 级 。 

目录 服务 的 推出 主要 是 解决 上 述 数据 库 中 存在 的 问题 。 目 录 与 关系 数据 库 相 似 , 具 有 描 
述 性 的 .基于 属性 的 记录 集合 ,但 其 数据 类 型 主要 是 字符 型 。 为 了 检索 的 需要 ,添加 了 BIN( 二 
进 制 数 据 ) .CIS( 忽 略 大 小 写 ) .CES( 大 小 写 敏 感 ) TEL( 电 话 型 ) 等 语法 (Syntax) ,而 不 是 关系 
数据 库 提供 的 整数 、 浮 点 数 \ 日 期 和 货币 等 类 型 ,同样 也 不 提供 像 关系 数据 库 中 普遍 包含 的 大 
量 的 函数 。 它 主要 面向 数据 的 查询 服务 (查询 和 修改 操作 比例 一 般 大 于 10 : 1) ,不 提供 事务 的 
回 滚 CRollback) 机 制 , 它 的 数据 修改 使 用 简单 的 锁定 机 制 实现 All-or-Nothing, 它 的 目标 是 快 
速 响应 和 大 容量 查询 ,并 且 提 供 多 目录 服务 器 的 信息 复制 功能 。 

LDAP 的 主要 功能 ,也 是 其 优势 ,体现 在 如 下 几 个 方面 。 

(1) 可 以 在 任何 计算 机 平台 上 ,用 很 容易 获得 的 ,而 且 数 目 不 断 增加 的 LDAP 的 客户 端 
程序 访问 LDAP 目录 ,而 且 也 很 容易 定制 应 用 程序 为 它 加 上 LDAP 的 支持 。 

(2) LDAP 协议 是 跨 平台 的 和 标准 的 协议 ,因此 应 用 程序 就 不 用 为 LDAP 目录 放 在 什 
么 样 的 服务 器 上 操心 了 。 因 为 LDAP 是 Internet 的 标准 ,所 以 得 到 了 业界 的 广泛 认可 和 支 
持 。LDAP 服务 器 可 以 是 任何 一 个 开放 源 代码 或 商用 的 LDAP 目录 服务 器 (或 者 还 可 能 是 
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具有 LDAP 界面 的 关系 型 数据 库 ) ,因为 可 以 用 同样 的 协议 、 客 户 端 连接 软件 包 和 查询 命令 
与 LDAP 服务 器 进行 交互 。 大 多 数 的 LDAP 服务 器 安装 起 来 很 简单 ,也 容易 维护 和 优化 。 

(3) LDAP 服务 器 可 以 用 * 推 ?或 “ 拉 ? 的 方法 复制 部 分 或 全 部 数据 。 例 如 ,可 以 把 数据 
“ 推 ? 到 远程 的 办 公 室 或 下 级 目录 ,以 增加 数据 的 安全 性 。LDAP 服务 器 中 内 置 了 复制 技术 ， 
且 很 容易 配置 。 

(4) LDAP 允许 根据 需要 使 用 访问 控制 信息 (Access Control Information,ACI 或 者 访 
问 控制 列表 ) 控 制 对 数据 读 和 写 的 权限 。 例 如 ,设备 管理 员 有 权 改 变 员工 的 工作 地 点 和 办 公 
室 号 码 , 但 是 不 允许 改变 记录 中 其 他 的 域 。ACI 可 以 根据 谁 访问 数据 、 访 问 什么 数据 、 数 据 
存在 什么 地 方 等 对 数据 进行 访问 控制 ,因为 这 些 都 是 由 LDAP 目录 服务 器 完成 的 ,所 以 不 
用 担心 在 客户 端的 应 用 程序 上 是 否 要 进行 安全 检查 。 

(5) LDAP 提供 了 复杂 的 \ 不 同 层次 的 访问 控制 或 者 ACI。 这 些 访问 可 以 在 服务 器 端 
控制 ,因此 比 用 客户 端 软件 更 能 保证 数据 安全 。 


8.6 PKI 的 应 用 与 发 展 


8.6.1 PKI 的 应 用 


作为 一 种 基础 设施 ,PKI 的 应 用 范围 非常 广泛 ,并 且 在 不 断 发 展 之 中 ,包括 在 Web 服务 
器 和 浏览 器 之 间 的 通信 ,电子 邮件 电子 数据 交换 、 在 Internet 上 的 信用 卡 交易 、 虚 拟 私有 网 
等 。 下面 给 出 几 个 常见 的 应 用 。 

1. 虚拟 专用 网 络 

虚拟 专用 网 络 (VPN) 是 一 种 架构 在 公用 通信 基础 设施 上 的 专用 数据 通信 网 络 ,利用 网 
络 层 安全 协议 (尤其 是 IPSec) 和 建立 在 PKI 上 的 加 密 与 签名 技术 来 获得 机 密 性 保护 。 基 于 
PKI 技术 的 IPSec 协议 现在 已 经 成 为 架构 VPN 的 基础 , 它 可 以 为 路 由 器 之 间 、 防 火 墙 之 间 
或 者 路 由 器 和 防火 墙 之 间 提 供 经 过 加 密 和 认证 的 通信 。 虽 然 它 的 实现 复杂 一 些 , 但 其 安全 
性 比 其 他 协议 都 完善 得 多 。 在 基于 PKI 对 VPN 产品 中 ,用 户 使 用 数字 证 书 在 客户 端 和 服 
务 器 之 间 建 立 安 全 的 VPN 连接 。 

2. 安全 电子 邮件 

作为 Internet 上 最 有 效 的 应 用 ,电子 邮件 凭借 其 易 用 、 低 成 本 和 高 效 已 经 成 为 现代 商业 
中 的 一 种 标准 信息 交换 工具 。 随 着 Internet 的 持续 发 展 ,商业 机 构 或 政府 机 构 都 开始 用 电 
子 邮 件 交换 一 些 秘 密 的 或 是 有 商业 价值 的 信息 ,这 就 引出 了 一 些 安全 方面 的 问题 ,包括 消息 
和 附件 可 以 在 不 为 通信 双方 所 知 的 情况 下 被 读 取 、 算 改 或 截 掉 , 发 信人 的 身份 无 法 确认 。 

在 实际 使 用 中 ,PGP 技术 在 电子 邮件 通信 中 得 到 了 一 定 的 发 展 ,但 由 于 PGP 的 应 用 模 
式 局 限 了 其 应 用 是 用 户 对 用 户 的 ,并 需要 在 通信 之 前 实现 沟通 ,对 于 电子 邮件 的 安全 需求 
(机 密 、 完 整 . 认 证 和 不 可 否认) 可 以 考虑 采用 PKI 技术 来 获得 。 目 前 发 展 很 快 的 安全 电子 
邮件 协议 是 S/MIME(The Secure Multipurpose Internet Mail Extension) , 它 的 实现 是 依赖 
于 PKI 技 术 的 。 
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3. Web 安全 


浏览 Web 页 面 是 人 们 最 常用 的 访问 Internet 的 方式 。 如 果 要 通过 Web 进行 一 些 商 业 
交易 ,该 如 何 保证 交易 的 安全 呢 ? 为 了 透明 地 解决 Web 的 安全 问题 ,在 两 个 实体 进行 通信 
之 前 , 先 要 建立 SSL 连接 ,以 此 实现 对 应 用 层 透 明 的 安全 通信 。 利 用 PKI 技术 ,SSL 协议 允 
许 在 浏览 器 和 服务 器 之 间 进 行 加 密 通 信 。 此 外 在 服务 器 端 和 浏览 器 端 通信 时 ,双方 可 以 通 
过 数字 证 书 的 交互 确认 对 方 的 身份 。 基 于 PKI 技术 ,结合 SSL 协议 和 数字 证 书 , 则 可 以 保 
证 Web 交易 多 方面 的 安全 需求 ,使 Web 上 的 交易 和 面对面 的 交易 一 样 安全 。 

4. 安全 电子 交易 

电子 商务 在 提供 机 遇 和 便利 的 同时 ,也 面临 着 一 个 最 大 的 挑战 , 即 交 易 的 安全 问题 。 在 
Internet 购物 的 环境 中 , 持 卡 人 希望 在 交易 中 保密 自己 的 账户 信息 ,使 之 不 被 人 次 用; 商家 
则 希望 客户 的 订单 不 可 否认 ,并 且 ,在 交易 过 程 中 ,交易 各 方 都 希望 验 明 其 他 方 的 身份 ,以 防 
止 被 欺骗 。 针 对 这 种 情况 ,由 美国 Visa 和 MasterCard 两 大 信用 卡 组 织 联合 国际 上 多 家 科 
技 机 构 ,共同 制定 了 应 用 于 Internet 上 的 以 银行 卡 为 基础 进行 在 线 交 易 的 安全 标准 ,这 就 是 
“安全 电子 交易 (Secure Electronic Transaction,SET)”。 

由 于 SET 提供 了 消费 者 .商家 和 银行 之 间 的 认证 ,确保 了 交易 数据 的 安全 性 、 完 整 可 靠 
性 和 交易 的 不 可 和 否认 性 ,因此 它 成 为 目前 公认 的 信用 卡 / 借 记 卡 的 Internet 交易 的 国际 安全 
标准 。SET 协议 采用 公 钥 密码 体制 和 X. 509 数字 证 书 标准 ,是 PKI 框架 下 的 一 个 典型 实 
现 ,同时 也 在 不 断 升 级 和 完善 。 


8.6.2 PKI 的 发 展 


从 目前 的 发 展 来 说 ,PKI 的 使 用 范围 非常 广 , 而 不 仅仅 局 限于 一 般 人 认为 的 CA 机 构 ， 
它 还 包括 完整 的 安全 策略 和 安全 应 用 。 因 此 ,PKI 的 开发 也 从 传统 的 身份 认证 到 各 种 与 应 
用 相关 的 安全 场合 ,如 企业 安全 电子 商务 和 政府 的 安全 电子 政务 等 。 

PKI 发 展 的 一 个 重要 方面 就 是 标准 化 问题 , 它 也 是 建立 互 操作 性 的 基础 。 本 文 前 面 章 
节 讨 论 的 PKI 相关 标准 ,包括 美国 RSA 公司 的 公 钥 加 密 标准 PKCS 系列 和 Internet 工程 
任务 组 IETF (Internet Engineering Task Force) 和 PKI 工作 组 PKIX (Public Key 
Infrastructure Working Group) 所 定义 的 一 组 具有 互 操作 性 的 公 钥 基础 设施 协议 。 其 他 工 
业界 和 政府 组 织 也 规定 了 各 自 的 协议 子 集 和 操作 模型 ,这 些 协 议 子 集 和 操作 模型 是 这 些 组 
织 根据 他 们 各 自 的 安全 和 电子 服务 需求 对 更 为 宽泛 的 PKI 规范 进行 剪裁 得 到 的 。 

2001 年 ,由 微软 ,Versign 和 WebMethods 三 家 公司 发 布 了 XML 密 钥 管理 规范 (XML 
Key Management Specification,XKMS) ,被 称 为 第 二 代 PKI 标准 。XKMS 由 两 部 分 组 成 : 
XML 密 钥 信息 服务 规范 (XML Key Information Service Specification ,X-KISS) 和 XML 密 
钥 注 册 服 务 规范 (XML Key Registration Service Specification,X-KRSS) 。X-KISS 定义 了 
包含 在 XML-SIG 元 素 中 的 用 于 验证 公 钥 信息 合法 性 的 信任 服务 规范 ; 使 用 X-KISS 规范 ， 
XML 应 用 程序 可 通过 网 络 委托 可 信和 的 第 三 方 CA 处 理 有 关 认 证 签名 、 查 询 、 验 证 、 绑 定 公 钥 
信息 等 服务 。X-KRSS 则 定义 了 一 种 可 通过 网 络 接受 公 钥 注册 、 撤 销 、 恢 复 的 服务 规范 ; 
XML 应 用 程序 建立 的 密 钥 对 ,可 通过 X-KRSS 规范 将 公 钥 部 分 及 其 他 有 关 的 身份 信息 发 
给 可 信 的 第 三 方 CA 注册 。X-KISS 和 X-KRSS 规范 都 按照 XML Schema 结构 化 语言 定 
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种 


义 ,使 用 简单 对 象 访问 协议 (SOAP v1. 1) 进 行 通信 ,其 服务 与 消息 的 语法 定义 遵循 Web 服 
务 定义 语言 (WSDL v1.0)。 目 前 XKMS 已 成 为 W3C 的 推荐 标准 ,并 已 被 微软 、VerSign 等 
公司 集成 于 他 们 的 产品 中 (微软 已 在 ASP. net 中 集成 了 XKMS, VerSign 公司 已 发 布 了 基 
于 Java 的 信任 服务 集成 工具 包 TSIK ) 。 

PKI 的 发 展 受 到 应 用 驱动 的 影响 ,发 展 非常 快 ,已 经 出 现 了 大 量 成 熟 技术 、 产 品 和 解决 
方案 ,PKI 正 逐步 走向 成 熟 。 目 前 ,PKI 产品 的 生产 厂家 很 多 , 比较 有 代表 性 的 主要 有 
VeriSign 公司 ,Entrust 公司 和 Baltimore 公司 。VeriSign 公司 借助 RSA 成 熟 的 安全 技术 ， 
提供 的 PKI 产品 为 用 户 之 间 的 内 部 信息 交互 提供 了 安全 保障 。 另 外 ,VeriSign 公司 也 提供 
对 外 的 CA 服务 ,包括 证 书 的 发 布 和 管理 等 功能 ,并 且 同 一 些 大 的 生产 商 , 如 Microsoft 公 
司 ,JavaSoft 公司 等 ,保持 了 伙伴 关系 ,以 在 Internet 上 提供 代码 签名 服务 。Entrust 公司 从 
事 PKI 的 研究 与 产品 开发 已 经 有 很 多 年 的 历史 了 ,并 一 直 在 业界 保持 领先 地 位 ,拥有 许多 
成 熟 的 PKI 及 配套 产品 ,并 提供 了 有 效 的 密 钥 管理 功能 。 总 部 设 在 爱尔兰 的 Baltimore 公 
司 推出 的 PKI 产品 UniCERT 一 一 是 一 个 策略 驱动 .模块 化 的 PKI, 可 以 使 整个 PKI 贯 
彻 同一 个 安全 策略 ,同时 依靠 模块 化 的 设计 ,实现 了 高 度 的 灵活 性 和 可 扩展 性 。 

我 国 是 从 20 世纪 90 年 代 末 开始 发 展 PKI 及 其 应 用 的 ,在 此 期 间 ,PKI 的 厂商 在 PKI 
的 可 用 性 和 技术 实施 方面 也 取得 了 很 大 进步 。 国 内 已 经 成 功 建设 的 大 型 行业 性 或 是 区 域 性 
的 PKI/CA 就 有 四 十 多 个 。 除 此 之 外 ,许多 企 事业 单位 内 部 建立 的 小 型 PKI/CA 还 有 很 
多 。 影 响 最 大 的 行业 性 PKI/CA 有 中 国 金 融 认证 中 心 (CFCA)、 中 国电 信 认 证 中 心 
(CTCA); 影响 最 大 的 区 域 性 PKI/CA 有 上 海 CA 认证 中 心 和 广东 CA 认证 中 心 。 这 些 CA 
中 心 主要 用 于 电子 商务 。 各 级 政府 也 在 建设 PKL/CA, 主 要 用 于 电子 政务 。2002 年 4 月 ， 
我 国 在 信息 安全 标准 委员 会 的 领导 下 ,由 WG4 工作 组 制定 了 一 系列 的 PKI 标准 。 制 定 的 
PKI 标准 规范 有 基于 X. 509 的 国内 证 书 格式 规范 、PKI 组 件 最 小 互 操作 规范 `X. 509 在 线 
证 书 状态 查询 协议 .X. 509 证 书 管理 协议 .PKI 产品 的 安全 测试 认证 规范 、PKI 系统 安全 保 
护 等 级 评估 准则 、PKI 系统 安全 保护 等 级 技术 要 求 等 。 在 我 国电 子 签名 法 颁发 之 后 ,PKI 的 
应 用 更 是 得 到 了 有 力 的 支持 和 推动 。 随 着 电子 商务 、 电 子 政务 的 蓬勃 发 展 ,进一步 实现 PKI 
的 互联 互通 对 我 国电 子 商 务 .电子 政务 的 发 展 非常 重要 。 


8.7 关键 术语 


公 钥 基础 设施 (Public Key Infrastructure,PKI) 

认证 中 心 (也 称 权 威 中 心 ) (Certificate Authority,CA) 
数字 证 书 (Digital Certificate) 

公 钥 证 书 (Public Key Certificate) 

证 书 撤销 链表 (Certificate Revocation Lists,CRL) 

在 线 证 书 状态 协议 (Online Certificate Status Protocol,OCSP) 
交叉 认证 (Cross-Certification) 

证 书 策略 (Certificate Policy) 

证 书 用 户 (Certificate User) 


228 信息 安全 原理 与 技术 (第 2 版) 


认证 路 径 (Certification Path) 

简单 认证 (Simple Authentication) 

强 认证 (Strong Authentication) 

信任 (Trust) 

公 钥 密码 标准 (Public Key Cryptography Standard,PKCS) 

轻 量 级 目录 访问 协议 (Lightweight Directory Access Protocol, LDAP) 
时 间 戳 机 构 (Time Stamp Authority,TSA) 


8.8 习 题 8 


PKI 的 主要 组 成 部 分 是 什么 ? 它们 各 自 的 功能 各 是 什么 ? 

什么 是 交叉 认证 ? 请 给 出 交叉 认证 的 过 程 。 

PKI 中 有 哪些 常见 的 信任 模型 ? 各 种 模型 的 特点 是 什么 ? 

PKI 可 以 提供 哪些 安全 服务 ? 

X. 509 标准 的 目标 是 什么 ? 

X. 509 中 是 如 何 撤销 证 书 的 ? 

请 具体 描述 PKI 在 网 络 安全 应 用 中 的 一 个 案例 ,并 分 析 PKI 在 其 中 所 起 的 作用 。 
请 给 出 案例 ,说 明基 于 PKI 的 SSL 是 如 何 工作 的 ? 


oo oo oo co oo oo oo oo 
oo 中 四 oo 


本 章 导 读 

> 本 章 主要 介绍 防火 墙 的 概念 、 作 用 、 分 类 、 技 术 、 体 系 结构 等 内 容 。 

> 防火 墙 是 位 于 一 个 或 多 个 安全 的 内 部 网 络 和 非 安全 的 外 部 网 络 ( 如 Internet) 之 间 
的 、 进 行 网 络 访问 控制 的 网 络 设备 (或 系统 )。 防 火 墙 的 目的 是 防止 不 期 望 的 或 未 授 
权 的 用 户 和 主机 访问 内 部 网 络 , 确 保 内 部 网 正常 、 安 全 地 运行 。 

> 防火 墙 决 定 了 哪些 内 部 服务 可 以 被 外 界 访问 ,外 界 的 哪些 人 可 以 访问 内 部 的 服务 ， 
以 及 哪些 外 部 服务 可 以 被 内 部 人 员 访 问 。 

> 根据 物理 特性 ,防火 墙 可 分 为 两 大 类 : 软件 防火 墙 和 硬件 防火 墙 。 从 结构 上 又 可 分 
为 单一 主机 防火 墙 .路 由 集成 式 防火 墙 和 分 布 式 防火 墙 3 种 。 按 工作 位 置 可 分 为 边 
界 防火 墙 . 个 人 防火 墙 和 混合 防火 墙 。 按 防火 墙 性 能 可 分 为 百 兆 级 防火 墙 和 千 兆 级 
防火 墙 两 类 。 

> 防火 墙 技术 有 两 种 : 数据 包 过 滤 技 术 和 代理 服务 。 

> 防火 墙 的 体系 结构 主要 有 3 种 : 双 宿 主机 防火 墙 结构 、 屏 蔽 主机 防火 墙 结构 和 屏蔽 
子 网 防火 墙 结构 。 


随 着 计算 机 和 网 络 的 发 展 ,各 种 攻击 和 入 侵 手 段 也 相继 出 现 了 。 特 别 是 在 Web 环境 
中 ,威胁 来 自 于 多 个 方面 ,从 端点 到 传输 到 边界 ,最 后 到 达 Web 服务 器 和 后 台数 据 库 , 这 一 
系列 的 数据 交换 都 可 能 会 引发 大 量 的 安全 问题 。 为 了 保护 计算 机 的 安全 ,人 们 开发 出 一 种 
能 阻止 计算 机 之 间 直 接 通 信 的 技术 一 一 “防火 墙 (FireWall) "技术 。 

防火 墙 的 基本 功能 是 对 网 络 通信 进行 筛选 屏蔽 以 防止 未 授权 的 访问 进出 计算 机 网 络 。 
简单 的 概括 就 是 对 网 络 进行 访问 控制 。 绝 大 部 分 的 防火 墙 都 是 放置 在 内 部 (可 信任 ?网络 
(Internal) 和 外 部 (不 可 信任 ?网 络 (Internet) 之 间 ,通过 监测 .限制 .更 改 跨 越 防 火 墙 的 数据 
流 , 尽 可 能 地 对 外 部 不 可 信任 网 络 屏蔽 内 部 可 信任 网 络 的 信息 、 结 构 和 运行 状况 ,以 此 来 实 
现 对 内 部 可 信任 网 络 的 安全 保护 。 

防火 墙 对 组 织 机 构 \ 企 业内 部 的 安全 策略 的 实施 等 都 具有 重要 的 意义 。 本 章 将 曾 述 防 
火 墙 的 一 些 概念 和 相关 技术 。 


9.1 防火 墙 概述 
9.1.1 防火 墙 的 基本 概念 


“防火 墙 ”一 词 源 自 于 早期 建筑 。 在 古代 ,构筑 和 使 用 木质 结构 房屋 的 时 候 为 防止 火灾 
的 发 生 和 蔓延 ,人 们 将 坚固 的 石 块 堆 砌 在 房屋 周围 作为 屏障 ,这 种 防护 构筑 物 就 被 称 为 “ 防 
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火 墙 ?>。 如 今 在 计算 机 网 络 中 ,沿用 了 * 防 火 墙 ? 这 个 名 字 来 表示 实现 类 似 的 网 络 安全 功能 。 
用 专业 术语 来 说 ,防火墙 "是 一 种 位 于 两 个 或 多 个 网 络 间 并 实施 网 络 之 间 访 问 控制 的 组 件 
集合 。 对 于 普通 用 户 来 说 ,所 谓 “ 防 火 墙 ”, 指 的 就 是 一 种 被 放置 在 自己 的 计算 机 与 外 界 网 络 
之 间 的 防御 系统 ,从 网 络 发 往 计算 机 的 所 有 数据 都 要 经 过 它 的 判断 处 理 后 , 才 会 决定 能 不 能 
把 这 些 数 据 交 给 计算 机 ,一 旦 发 现 有 害 数据 ,防火 墙 就 会 将 其 拦截 下 来 ,这 样 就 实现 了 对 计 
算 机 的 保护 。 

一 个 防火 墙 可 以 设置 在 PC、 路 由 器 、 大 型 主 
机 、UNIX 工作 站 等 计算 机 上 , 它 可 以 决定 从 外 部 
网 能 访问 内 部 网 的 哪些 信息 和 服务 以 及 谁 能 访问 
这 些 信息 和 服务 ,从 而 达到 保护 企业 内 部 网 的 信息 
资源 的 目的 。 也 就 是 说 ,防火 墙 允许 可 信任 的 数据 

图 9.1 防火 墙 示意 图 通过 ,拒绝 恶意 访问 ,保护 内 部 网 络 免 于 受到 外 部 
网 的 攻击 。 图 9. 1 是 一 个 防火 墙 的 示意 图 。 

防火 墙 是 一 种 综合 性 技术 ,并 不 仅仅 指 用 来 提供 一 个 网 络 安全 保障 的 主机 、 路 由 器 或 多 
机 系统 ,而 是 一 整套 保障 网 络 安全 的 手段 。 防 火 墙 有 如 下 两 条 基本 的 规则 。 

(1) 一 切 未 被 允许 的 就 是 禁止 的 。 基 于 该 规则 ,防火 墙 应 封锁 所 有 信息 流 , 然 后 对 希望 
提供 的 服务 逐 项 开放 , 即 只 允许 符合 开放 规则 的 信息 进出 。 这 种 方法 非常 实用 ,可 以 创造 一 
种 十 分 安全 的 环境 ,因为 所 能 使 用 的 服务 范围 受到 了 严格 的 限制 ,只 有 特定 的 ,被 选中 的 服 
务 才 被 允许 使 用 。 这 就 使 得 用 户 使 用 的 方便 性 受到 了 影响 。 

(2) 一 切 未 被 禁止 的 就 是 允许 的 。 基 于 该 规则 ,防火 墙 逐 项 屏蔽 被 禁止 的 服务 ,而 转发 
所 有 其 他 信息 流 。 这 种 方法 可 以 提供 一 种 更 为 灵活 的 应 用 环境 ,可 为 用 户 提 供 更 多 的 服务 。 
但 却 很 难 提供 可 靠 的 安全 防护 ,特别 是 当 网 络 服务 日 益 增 多 或 受 保护 的 网 络 范围 增 大 时 。 

典型 的 防火 墙 具 有 以 下 3 个 方面 的 基本 特性 。 

1) 内 部 网 络 和 外 部 网 络 之 间 的 所 有 网 络 数据 流 都 必须 经 过 防火 墙 

内 部 网 络 和 外 部 网 络 之 间 的 所 有 网 络 数据 流 都 必须 经 过 防火 墙 是 防火 墙 所 处 网 络 的 位 
置 特性 ,同时 也 是 一 个 前 提 。 因 为 只 有 当 防 火 墙 是 内 、 外 部 网 络 之 间 通 信 的 唯一 通道 , 才 可 
以 全 面 \ 有 效 地 保护 内 部 网 络 不 受 侵害 。 根 据 美国 国家 安全 局 制定 的 《信息 保障 技术 框架 》， 
防火 墙 适 用 于 用 户 网 络 系统 的 边界 ,属于 用 户 网 络 边界 的 安全 保护 设备 。 所 谓 网 络 边界 即 
是 采用 不 同安 全 策略 的 两 个 网 络 的 连接 处 ,比如 用 户 网 络 和 Internet 之 间 连 接 . 和 其 他 业务 
往来 单位 的 网 络 连接 ,用 户 内 部 网 络 不 同 部 门 之 间 的 连接 等 。 防 火 墙 的 目的 就 是 在 网 络 连 
接 之 间 建 立 一 个 安全 控制 点 ,通过 人 允许、 拒绝 或 重新 定向 经 过 防火 墙 的 数据 流 ,实现 对 进 .出 
内 部 网 络 的 服务 和 访问 的 审计 和 控制 。 从 图 9. 1 中 可 以 看 出 ,防火 墙 的 一 端 连接 内 部 的 局 
域 网 ,而 另 一 端 则 连接 着 Internet, 所 有 的 内 、 外 部 网 络 之 间 的 通信 都 要 经 过 防火 墙 。 

2) 只 有 符合 安全 策略 的 数据 流 才能 通过 防火 墙 

防火 墙 最 基本 的 功能 是 确保 网 络 流量 的 合法 性 ,并 在 此 前 提 下 将 网 络 的 流量 快速 地 从 
一 条 链 路 转发 到 另外 的 链 路 上 。 防 火 墙 将 网 络 上 的 流量 通过 相应 的 网 络 接口 接收 上 来 , 按 
照 OSI 协议 栈 的 七 层 结构 顺序 上 传 ,在 适当 的 协议 层 进行 访问 规则 和 安全 审查 ,然后 将 符 
合 通过 条 件 的 报 文 从 相应 的 网 络 接口 送出 ,而 对 于 那些 不 符合 通过 条 件 的 报 文 则 予以 阻 断 。 
因此 ,从 这 个 角度 上 来 说 ,防火 墙 是 一 个 类 似 于 桥接 或 路 由 器 的 、 多 端口 的 (网 络 接口 大 于 
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等 于 2) 转 发 设备 , 它 跨 接 于 多 个 分 离 的 物理 网 段 之 间 , 并 在 报 文 转发 过 程 中 完成 对 报 文 
的 审查 工作 。 

3) 防火 墙 自身 应 具有 非常 强 的 抗 攻 击 免 疫 力 

防火 墙 自身 应 具有 非常 强 的 抗 攻击 免疫 力 是 防火 墙 之 所 以 能 担当 组 织 或 企业 内 部 网 络 
安全 防护 重任 的 先决 条 件 。 防 火 墙 处 于 网 络 边缘 , 它 就 像 一 个 边界 卫士 一 样 ,每 时 每 刻 都 要 
面 对 黑 客 的 人 侵 ,这 样 就 要 求 防火 墙 自身 要 具有 非常 强 的 抗击 入侵 的 本 领 。 因 此 防火 墙 操 
作 系统 本 身 是 关键 ,只 有 自身 具有 完整 信任 关系 的 操作 系统 才 可 以 谈论 系统 的 安全 性 。 其 
次 就 是 防火 墙 自身 具有 非常 低 的 服务 功能 ,除了 专门 的 防火 墙 谋 入 系统 外 ,再 没有 其 他 应 用 
程序 在 防火 墙 上 运行 。 当 然 这 些 安全 性 也 只 能 说 是 相对 的 。 


9.1.2 防火 墙 的 作用 及 局 限 性 


防火 墙 能 有 效 地 防止 外 来 的 人 侵 , 它 在 网 络 系统 中 的 作用 可 以 归纳 为 以 下 几 个 方面 。 

(1) 集中 的 安全 管理 。 防 火 墙 允许 网 络 管理 员 定 义 一 个 中 心 ( 阻 塞 点 ) 来 防止 非法 用 户 
(如 黑客 .网络 破 坏 者 等 ) 进 入 内 部 网 络 ,禁止 存在 不 安全 因素 的 访问 进出 网 络 ,并 抗击 来 自 
各 种 线路 的 攻击 。 防 火 墙 定义 的 安全 规则 可 以 运行 于 整个 内 部 网 络 系统 ,而 无 须 在 内 部 网 
的 每 台 机 器 上 分 别 设立 安全 策略 。 防 火 墙 可 以 定义 不 同 的 认证 方法 ,而 不 需要 在 每 台 机 器 
上 分 别 安装 特定 的 认证 软件 。 外 部 用 户 也 只 需要 经 过 一 次 认证 即 可 访问 内 部 网 。 因 此 防火 
墙 技术 能 够 简化 网 络 的 安全 管理 、 提 高 网 络 的 安全 性 。 

(2) 安全 警报 。 通 过 防火 墙 可 以 方便 地 监视 网 络 的 安全 性 ,并 产生 报警 信号 。 网 络 管 
理 员 必 须 审查 并 记录 所 有 通过 防火 墙 的 重要 信息 。 

(3) 重新 部 署 网 络 地 址 转换 (Network Address Translator, NAT)。Internet 的 迅速 发 
展 使 得 有 效 的 ,未 被 申请 的 IP 地 址 越 来 越 少 , 这 意味 着 想 进 入 Internet 的 机 构 可 能 申请 不 
到 足够 的 IP 地 址 来 满足 内 部 网 络 用 户 的 需要 。 为 了 接 入 Internet ,可 以 通过 网 络 地 址 转换 
(NAT) 来 完成 内 部 私有 地 址 到 外 部 注册 地 址 的 映射 。 防 火 墙 是 部 署 NAT 的 理想 位 置 , 利 
用 NAT 技术 ,将 有 限 的 IP 地址 动态 或 静态 地 与 内 部 的 IP 地 址 对 应 起 来 ,可 用 来 缓解 地 址 
空间 短缺 的 问题 ,并 可 隐藏 内 部 网 的 结构 。 

(4) 审计 和 记录 网 络 的 访问 及 使 用 情况 。 由 于 所 有 的 访问 都 要 经 过 防火 墙 ,所 以 它 是 
审计 和 记录 网 络 访问 及 使 用 情况 的 一 个 最 佳 地 点 。 比 如 网 络 管理 员 可 以 在 此 向 管理 部 门 提 
供 Internet 连接 的 费用 情况 , 查 出 潜在 的 带宽 瓶颈 位 置 , 并 能 够 依据 本 机 构 的 核算 模式 提供 
部 门 级 的 计 费 等 。 

(5) 向 外 发 布 信息 。 防 火 墙 除了 起 到 安全 屏障 作用 外 ,也 是 部 署 WWW 服务 器 和 FTP 
服务 器 的 理想 位 置 。 允 许 Internet 访问 上 述 服务 器 ,而 禁止 对 内 部 受 保护 的 其 他 系统 进行 
访问 。 

但 是 ,防火 墙 的 功能 也 有 局 限 性 ,主要 表现 在 以 下 几 个 方面 。 

(1) 防火 墙 不 能 防范 不 经 由 防火 墙 的 攻击 和 威胁 。 例 如 ,如 果 允 许 从 受 保护 网 内 部 不 
受 限制 地 向 外 拨号 ,一 些 用 户 可 以 形成 与 Internet 的 直接 连接 ,从 而 绕 过 防火 墙 ,造成 一 个 
潜在 的 后 门 攻击 渠道 。 

(2) 不 能 防御 已 经 授权 的 访问 ,以 及 存在 于 网 络 内 部 系统 间 的 攻击 ,不 能 防御 合法 用 户 
恶意 的 攻击 以 及 社交 攻击 等 非 预 期 的 威胁 。 比 如 A 是 B 公司 的 职员 ,那么 他 经 过 MIS 部 
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门 的 授权 就 可 以 通过 防火 墙 来 访问 企业 内 部 资源 了 ,现在 他 因 一 些 原因 离职 ,在 人 事 部 门 未 
通知 MIS 部 门 收 回 对 A 的 访问 授权 期 间 ,A 仍 可 畅通 无 阻 地 进入 B 公司 的 内 部 网 ,这 将 给 
A 提供 窃取 公司 内 部 信息 的 可 乘 之 机 。 

(3) 防火 墙 不 能 防止 感染 了 病毒 的 软件 或 文件 的 传输 。 只 能 在 每 台 主 机 上 装 反 病 毒 
软件 。 

(4) 防火 墙 不 能 防止 数据 驱动 式 攻击 。 当 有 些 表面 看 来 无 害 的 数据 被 邮寄 或 复制 到 
Internet 主机 上 并 被 执行 而 发 起 攻击 时 ,就 会 发 生 数 据 驱 动 攻击 。 

(5) 不 能 修复 脆弱 的 管理 措施 和 存在 问题 的 安全 策略 。 


9.1.3 防火 墙 的 分 类 


防火 墙 的 形式 多 种 多 样 , 有 的 取代 系统 上 已 经 装备 的 TCP/IP 协议 栈 , 有 的 在 已 有 的 协 
议 栈 上 建立 自己 的 软件 模块 ,有 的 干脆 就 是 独立 的 一 套 操作 系统 。 还 有 一 些 应 用 型 的 防火 
墙 只 对 特定 类 型 的 网 络 连接 提供 保护 (比如 SMTP 或 者 HTTP 协议 等 )。 还 有 一 些 基 于 硬 
件 的 防火 墙 产品 其 实 应 该 归 人 安全 路 由 器 一 类 。 以 上 产品 都 可 以 叫做 防火 墙 ,因为 他 们 的 
工作 方式 都 是 一 样 的 : 即 分 析出 和 人 防火墙 的 数据 包 ,决定 放行 还 是 把 它们 丢弃 。 因 此 为 防 
火 墙 分 类 的 方法 也 很 多 。 

1) 根据 物理 特性 ,防火 墙 可 分 为 两 大 类 : 软件 防火 墙 和 硬件 防火 墙 

软件 防火 墙 是 一 种 安装 在 负责 内 外 网 络 转换 的 网 关 服 务 器 或 者 独立 的 个 人 计算 机 上 的 
特殊 程序 , 它 是 以 迎 辑 形式 存在 的 。 防 火 墙 程 序 跟 随 系统 启动 ,通过 运行 在 Ring0 级 别 的 特 
殊 驱 动 模块 把 防御 机 制 插入 系统 关于 网 络 的 处 理 部 分 和 网 络 接口 设备 驱动 之 间 , 形 成 一 种 
逻辑 上 的 防御 体系 。 在 没有 软件 防火 墙 之 前 ,系统 和 网 络 接口 设备 之 间 的 通道 是 直接 的 ,网 
络 接口 设备 通过 网 络 驱动 程序 接口 (Network Driver Interface Specification,NDIS) 把 网 络 
上 传 来 的 各 种 报 文 都 忠实 地 交 给 系统 处 理 。 例 如 一 台 计 算 机 接收 到 请 求 列 出 计算 机 上 所 有 
共享 资源 的 数据 报 文 ,NDIS 直接 把 这 个 报 文 提 交 给 系统 ,系统 在 处 理 后 就 会 返回 相应 数 
据 , 在 某 些 情况 下 就 会 造成 信息 泄露 。 而 使 用 软件 防火 墙 后 ,尽管 NDIS 接收 到 的 仍然 是 原 
封 不 动 的 数据 报 文 , 但 是 在 提交 到 系统 的 通道 上 多 了 一 层 防 御 机 制 , 所 有 数据 报 文 都 要 经 过 
这 层 机 制 根据 一 定 的 规则 判断 处 理 , 只 有 它 认 为 安全 的 数据 才能 到 达 系 统 , 其 他 数据 则 被 丢 
弃 。 因 为 有 规则 提 到 * 列 出 共享 资源 的 行为 是 危险 的 ”, 因 此 在 防火 墙 的 判断 下 ,这 个 报 文 会 
被 丢弃 ,这样 一 来 ,系统 接收 不 到 报 文 , 则 认为 什么 事情 也 没 发 生 过 ,也 就 不 会 把 信息 泄露 出 
去 了 。 和 软件 防火 墙 工 作 于 系统 接口 与 NDIS 之 间 ,用 于 检查 过 滤 由 NDIS 发 送 过 来 的 数据 ， 
在 无 需 改动 硬件 的 前 提 下 便 能 实现 一 定 强度 的 安全 保障 ,但 是 由 于 软件 防火 墙 自 身 属于 运 
行 于 系统 上 的 程序 ,不 可 避免 地 需要 占用 一 部 分 CPU 资源 以 维持 工作 ,而 且 由 于 数据 判断 
处 理 需 要 一 定 的 时 间 ,在 一 些 数 据 流量 大 的 网 络 里 ,软件 防火 墙 会 使 整个 系统 工作 效率 和 数 
据 吞 吐 速度 下 降 ,甚至 有 些 软件 防火 墙 会 存在 漏洞 ,导致 有 害 数据 可 以 绕 过 它 的 防御 体系 ， 

给 数据 安全 带 来 损失 ,因此 ,许多 企业 并 不 会 考虑 用 软件 防火 墙 方案 作为 公司 网 络 的 防御 措 
施 , 而 是 使 用 看 得 见 摸 得 着 的 硬件 防火 墙 。 

硬件 防火 墙 是 一 种 以 物理 形式 存在 的 专用 设备 ,通常 架设 于 两 个 网 络 的 连接 处 ,直接 从 
网 络 设备 上 检查 过 滤 有 害 的 数据 报 文 , 位 于 防火 墙 设 备 后 端的 网 络 或 者 服务 器 接收 到 的 是 
经 过 防火 墙 处 理 的 相对 安全 的 数据 ,不 必 另 外 分 配 CPU 资源 去 进行 基于 软件 架构 的 NDIS 
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数据 检测 ,可 以 大 大 提高 工作 效率 。 硬 件 防火 墙 一 般 是 通过 网 线 连 接 于 外 部 网 络 接口 与 内 
部 服务 器 或 企业 网 络 之 间 的 设备 ,这 里 又 另外 派 分 出 两 种 结构 。 一 种 是 普通 硬件 级 别 防 火 
墙 , 它 拥有 标准 计算 机 的 硬件 平台 和 一 些 功能 经 过 简化 处 理 的 UNIX 系列 操作 系统 和 防火 
墙 软件 。 这 种 防火 墙 措施 相当 于 专门 拿 出 一 台 计 算 机 安装 了 软件 防火 墙 , 除 了 不 需要 处 理 
其 他 事务 以 外 , 它 毕 竟 还 是 一 般 的 操作 系统 ,因此 有 可 能 会 存在 漏洞 和 不 稳定 因素 ,安全 性 
并 不 能 做 到 最 好 。 另 一 种 是 所 谓 的 “芯片 ”级 硬件 防火 墙 , 它 采用 专门 设计 的 硬件 平台 ,在 上 
面 搭建 的 软件 也 是 专门 开发 的 ,并 非 流行 的 操作 系统 ,因而 可 以 达到 较 好 的 安全 性 能 保障 。 
但 无 论 是 哪 种 硬件 防火 墙 ,管理 员 都 可 以 通过 计算 机 连接 上 去 设置 工作 参数 。 由 于 硬件 防 
火 墙 的 主要 作用 是 把 传人 的 数据 报 文 进行 过 滤 处 理 后 转发 到 位 于 防火 墙 后 面 的 网 络 中 , 因 
此 它 自 身 的 硬件 规格 也 是 分 档次 的 ,尽管 硬件 防火 墙 已 经 足以 实现 比较 高 的 信息 处 理 效率 ， 
但 是 在 一 些 对 数据 吞吐 量 要 求 很 高 的 网 络 里 ,档次 低 的 防火 墙 仍然 会 形成 瓶颈 ,所 以 对 于 一 
些 大 企业 而 言 , 芯 片 级 的 硬件 防火 墙 才 是 他 们 的 首选 。 但 硬件 防火 墙 最 显著 的 缺点 是 它 太 
贵 了 ! 对 于 一 般 家 庭 用 户 而 言 ,自己 的 数据 和 系统 安全 也 无 须 专门 用 到 一 个 硬件 设备 去 保 
护 ,因而 个 人 用 户 只 要 安装 一 种 好 用 的 软件 防火 墙 就 够 了 。 

2) 从 结构 上 又 可 分 为 单一 主机 防火 墙 .路 由 集成 式 防火 墙 和 分 布 式 防火 墙 3 种 

“单一 主机 防火 墙 ”就 是 最 常见 的 一 台 硬 件 防火 墙 , 它 独立 于 其 他 网 络 设备 ,位 于 网 络 边 
界 。 这 种 防火 墙 的 结构 其 实 与 一 台 计算 机 的 结构 差不多 ,同样 包括 CPU 内存、 硬盘 等 基本 
组 件 ,当然 主板 更 是 不 能 少 了 , 且 主 板 上 也 有 南 、 北 桥 芯 片 。 它 与 一 般 计算 机 最 主要 的 区 别 
就 是 一 般 这 种 防火 墙 都 集成 了 两 个 以 上 的 以 太 网 卡 ,因为 它 需要 连接 一 个 以 上 的 内 、 外 部 网 
络 。 其 中 的 硬盘 就 是 用 来 存储 防火 墙 所 用 的 基本 程序 ,如 包 过 滤 程 序 、 代 理 服务 器 程序 等 ， 
有 的 防火 墙 还 把 日 志 记 录 也 记录 在 此 硬盘 上 。 虽 然 如 此 ,因为 它 的 工作 性 质 , 决 定 了 它 要 具 
备 非常 高 的 稳定 性 、 实 用 性 ,以 及 非常 高 的 系统 吞吐 性 能 。 正 因 如 此 ,看 似 与 PC 差不多 的 
配置 ,价格 却 高 很 多 。 

一 些 厂商 为 了 节约 成 本 ,直接 把 防火 墙 功能 嵌入 路 由 设备 ,就 形成 了 路 由 集成 式 防火 墙 。 

随 着 人 们 对 网 络 安全 防护 要 求 的 提高 ,传统 防火 墙 明显 感觉 到 力不从心 ,因为 给 网 络 带 
来 安全 威胁 的 不 仅 是 外 部 网 络 ,更 多 的 是 来 自 内 部 网 络 ,传统 防火 墙 无 法 对 内 部 网 络 实现 有 
效 地 保护 ,除非 对 每 一 台 主机 都 安装 防火 墙 。 基 于 此 ,一 种 新 型 的 防火 墙 一 一 分 布 式 防火 墙 
诞生 了 。 分 布 式 防火 墙 再 也 不 是 只 位 于 网 络 边界 ,而 是 渗透 于 网 络 中 的 每 一 台 主 机 ,对 整个 
gt 当然 不 是 为 每 台 主机 安装 防火 墙 ， 而 是 把 防火 墙 的 安全 防护 系 
统 延伸 到 网 络 中 的 各 台 主 机 。 一 方面 有 效 地 保证 了 用 户 的 投资 不 会 很 高 , 另 一 方面 给 网 络 
ep 分 布 式 防火 墙 已 不 再 是 一 个 独立 的 硬件 实体 ,而 是 由 多 
个 软 、 硬 件 组 成 的 系统 ,在 网 络 服务 器 中 ,通常 会 安装 一 个 用 于 防火 墙 系统 的 管理 软件 ,在 服 
务 器 及 各 主机 上 安装 有 集成 网 卡 功能 的 PCI 防火 墙 卡 ,这 样 一 块 防火 墙 卡 同时 兼 有 网 卡 和 
防火 墙 的 双重 功能 。 这 样 一 个 防火 墙 系统 就 可 以 彻底 保护 内 部 网 络 。 各 主机 把 任何 其 他 主 
机 发 送 的 通信 连接 都 视 为 “不 可 信 ? 的 ,都 需要 严格 过 滤 。 而 不 是 像 传统 防火 墙 那样 , 仅 对 外 
部 网 络 发 出 的 通信 请 求 “不 信任 ”。 

3) 按 工 作 位 置 可 分 为 边界 防火 墙 个 人 防火 墙 和 混合 防火 墙 

所 谓 “ 边 界 ”, 就 是 指 两 个 网 络 之 间 的 接口 处 ,工作 于 此 的 防火 墙 就 被 称 为 “边界 防火 
墙 "。 这 类 防火 墙 一 般 都 是 硬件 类 型 的 ,价格 较 贵 .性 能 较 好 。 
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与 之 相对 的 有 “个 人 防火 墙 ”, 它 们 通常 是 基于 软件 的 防火 墙 ,只 处 理 一 台 计 算 机 的 数 
据 , 而 不 是 整个 网 络 的 数据 ,现在 一 般 家 庭 用 户 使 用 的 软件 防火 墙 就 是 个 人 防火 墙 。 

混合 防火 墙 是 一 整套 防火 墙 系统 ,由 若干 个 软 、 硬 件 组 件 组 成 ,分 布 于 内 、 外 部 网 络 边界 
和 内 部 各 主机 之 间 , 既 对 内 、 外 部 网 络 之 间 通 信 进 行 过 滤 ,又 对 网 络 内 部 各 主机 间 的 通信 进 
行 过 滤 。 它 属于 最 新 的 防火 墙 技术 之 一 ,性 能 最 好 、 价 格 也 最 贵 。 

4) 按 防火 墙 性 能 可 分 为 百 兆 级 防火 墙 和 千 兆 级 防火 墙 两 类 

因为 防火 墙 通常 位 于 网 络 边界 ,所 以 不 可 能 只 是 十 兆 级 的 。 这 主要 是 指 防 火 墙 的 通道 
带宽 (Bandwidth) ,或 者 说 是 吞吐 率 。 当 然 通道 带宽 越 宽 ,性 能 越 高 ,这 样 的 防火 墙 因 包 过 
滤 或 应 用 代理 所 产生 的 延 时 也 越 小 ,对 整个 网 络 通信 性 能 的 影响 也 就 越 小 。 

5) 从 实现 技术 上 分 ,防火 墙 可 分 为 两 大 类 技术 : 数据 包 过 滤 技 术 和 代理 服务 

数据 包 过 滤 (Packet Filtering) 技 术 是 在 网 络 层 对 数据 包 进 行 选择 ,选择 的 依据 是 系统 
内 设置 的 过 滤 罗 辑 , 被 称 为 访问 控制 表 (Access Control Table) 。 通 过 检查 数据 流 中 每 个 数 
据 包 的 源 地 址 .目的 地 址 .所 用 的 端口 号 .协议 状态 等 因素 ,或 它们 的 组 合 来 确定 是 否 允 许 该 
数据 包 通 过 。 数 据 包 过 滤 防 火 墙 的 逻辑 简单 .价格 便宜 、 易 于 安装 和 使 用 ,网 络 性 能 和 透明 
性 好 , 它 通常 安装 在 路 由 器 上 。 路 由 器 是 内 部 网 络 与 Internet 连接 必 不 可 少 的 设备 ,因此 在 
原 有 网 络 上 增加 这 样 的 防火 墙 几乎 不 需要 任何 额外 的 费用 。 数 据 包 过 滤 防 火 墙 有 以 下 几 个 
主要 缺点 。 

(1) 定义 复杂 ,容易 出 现 因 配置 不 当 带 来 的 问题 ,非法 访问 一 旦 突破 防火 墙 , 即 可 对 主 
机 上 的 软件 和 配置 漏洞 进行 攻击 。 

(2) 数据 包 的 源 地 址 、 目 的 地 址 以 及 IP 的 端口 号 都 在 数据 包 的 头 部 ,很 有 可 能 被 窃听 
或 假冒 。 

(3) 允许 数据 包 直 接 通 过 ,容易 造成 数据 驱动 式 攻击 的 潜在 危险 。 所 谓 代 理 服 务 , 顾 名 
思 义 就 是 代表 你 的 网 络 和 外 界 打 交道 ,是 通过 代理 服务 器 实现 的 。 代 理 服 务 器 不 允许 存在 
任何 网 络 内 外 的 直接 连接 ,代理 服务 器 重 写 数 据 包 而 不 是 简单 地 将 其 转发 。 给 人 的 感觉 就 
是 网 络 内 部 的 主机 都 站 在 了 网 络 的 边缘 ,但 实际 上 它们 都 躲 在 代理 的 后 面 ,露面 的 只 是 代 
理 。 当 代理 服务 器 得 到 一 个 客户 的 连接 意图 时 ,它们 将 核实 客户 请 求 , 并 经 过 特定 的 安全 化 
的 代理 应 用 程序 处 理 连接 请 求 , 将 处 理 后 的 请 求 传递 到 真实 的 服务 器 上 ,然后 接受 服务 器 应 
答 ,并 做 进一步 处 理 后 ,将 答复 交 给 发 出 请 求 的 最 终 客 户 。 代 理 服务 器 在 外 部 网 络 向 内 部 网 
络 申请 服务 时 发 挥 了 中 间 转 接 的 作用 。 例 如 一 台 WWW 代理 服务 器 ,所 有 的 请 求 都 间接 地 
由 代理 服务 器 处 理 , 这 人 台 服 务 器 不 同 于 普通 的 代理 服务 器 , 它 不 会 直接 处 理 请 求 , 它 会 验证 
请 求 发 出 者 的 身份 .请 求 的 目的 地 和 请 求 内 容 。 如 果 一 切 符合 要 求 的 话 ,这 个 请 求 会 被 批准 
送 到 真正 的 WWW 服务 器 上 。 当 真正 的 WWW 服务 器 处 理 完 这 个 请 求 后 并 不 会 直接 把 结 
果 发 送 给 请 求 者 , 它 会 把 结果 送 到 代理 服务 器 ,代理 服务 器 会 按照 事先 的 规定 检查 这 个 结果 
是 否 违反 了 安全 规定 , 当 这 一 切 都 通过 后 ,返回 结果 才 会 真正 地 被 送 到 请 求 者 的 手 里 。 代 理 
型 防火 墙 的 最 突出 的 优点 就 是 安全 。 由 于 每 一 个 内 外 网 络 之 间 的 连接 都 要 通过 代理 
(Proxy) 的 介入 和 转换 ,通过 专门 为 特定 的 服务 (如 HTTP) 编 写 的 安全 化 的 应 用 程序 进行 
处 理 , 然 后 由 防火 墙 本 身 提交 请 求 和 应 答 , 没 有 给 内 外 网 络 的 计算 机 以 任何 直接 会 话 的 机 
会 ,从 而 避免 了 入 侵 者 使 用 数据 驱动 类 型 的 攻击 方式 人 侵 内 部 网 。 包 过 滤 类 型 的 防火 墙 是 
很 难 彻 底 弥补 这 一 漏洞 的 。 就 像 你 要 向 一 个 陌生 的 重要 人 物 递交 一 份 声明 一 样 , 如 果 先 将 
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这 份 声 明 交 给 你 的 律师 ,然后 律师 就 会 审查 你 的 声明 ,确认 没有 什么 负面 的 影响 后 才 由 他 交 
给 那个 陌生 人 。 在 此 期 间 , 陌 生 人 对 你 的 存在 一 无 所 知 , 如 果 要 对 你 进行 侵犯 ,他 面 对 的 将 
是 你 的 律师 ,而 你 的 律师 当然 比 你 更 加 清楚 该 如 何 对 付 这 种 人 。 代 理 服 务 也 存在 一 些 不 足 
之 处 : 因为 它 不 允许 用 户 直 接 访问 网 络 ,所 以 会 使 访问 速度 变 慢 ; 由 于 需要 对 每 一 个 特定 
的 Internet 服务 器 安装 相应 的 代理 服务 软件 ,用户 不 能 使 用 未 被 服务 器 支持 的 服务 ,对 每 一 
类 服务 要 使 用 特殊 的 客户 端 软件 ; 更 不 幸 的 是 ,并 不 是 所 有 的 Internet 应 用 软件 都 可 以 使 
用 代理 服务 。 

综 上 所 述 ,数据 包 过 滤 和 代理 服务 器 有 一 个 共同 的 特点 ,就 是 它们 仅仅 依靠 特定 的 逻辑 
判定 是 否 人 允许 数据 包 通 过 。 一 旦 满足 逻辑 , 则 防火 墙 内 外 的 计算 机 系统 建立 直接 联系 ,防火 
墙 外 部 的 用 户 便 有 可 能 直接 了 解 防火 墙 内 部 的 网 络 结构 和 运行 状态 ,这 有 利于 实施 非法 访 
问 和 攻击 。 另 外 ,它们 之 间 又 各 有 所 长 ,具体 使 用 哪 一 种 或 是 否 混合 使 用 ,要 看 具体 需要 。 
一 般 情况 下 ,在 使 用 防火 墙 产品 时 ,对 使 用 较为 频繁 信息 可 共享 性 高 的 服务 采用 应 用 层 代 
理 ,例如 WWW 服务 ; 对 于 实时 性 要 求 高 .使 用 不 频繁 且 用 户 自 定义 的 服务 可 以 采用 数据 
包 过 滤 机 制 , 如 Telnet 服务 。 我 们 将 在 第 9. 2 节 更 为 详细 地 介绍 这 几 种 防火 墙 技术 。 


9.2 防火 墙 技术 


传统 意义 上 的 防火 墙 技术 分 为 两 大 类 , 即 数据 包 过 滤 技术 和 代理 服务 。 其 中 ,数据 包 过 
滤 可 分 为 静态 包 过 滤 和 动态 包 过 滤 两 种 。 代 理 服务 也 可 分 为 应 用 级 网 关 和 电路 级 网 关 两 大 
类 。 无 论 一 个 防火 墙 的 实现 过 程 多 么 复杂 ,归根 结 底 都 是 在 这 几 种 技术 的 基础 上 进行 功能 
扩展 的 。 


9.2.1 数据 包 过 滤 


在 大 多 数 情况 下 ,数据 包 过 滤 是 用 设置 了 过 滤 规 则 的 路 由 器 来 实现 的 。 当 一 个 数据 包 
到 达 了 一 个 包 过 滤 路 由 器 ,该 路 由 器 便 从 包 首 部 截取 特定 信息 ,然后 依据 过 滤 规 则 判定 该 包 
是 否 可 通过 或 被 丢弃 。 一 般 从 包 首 部 截取 的 信息 有 源 IP 地 址 .目的 IP 地 址 `TCP/VUDP 源 
端口 号 .TCP/UDP 目的 端口 号 .ICMP 信息 类 型 和 封装 协议 信息 (TCP、UDP、ICMP 或 IP 
隧道 ) 等 。 

包 过 滤 规 则 是 基于 网 络 安全 策略 ( 即 凡是 未 被 明确 许可 的 就 是 禁止 的 或 凡是 未 被 明确 
禁止 的 就 是 许可 的 ) 的 。 包 过 滤 规 则 是 在 考虑 了 外 部 攻击 以 及 服务 级 别 限 制 和 收发 双方 的 
通信 级 别 限 制 等 因素 后 制定 的 。 其 工作 示意 图 如 图 9. 2 所 示 。 包 过 滤 类 型 的 防火 墙 要 遵循 
的 一 条 基本 原则 是 “最 小 特权 原则 ”, 即 明确 允许 那些 管理 员 希 望 通过 的 数据 包 ,禁止 其 他 数 
据 包 。 

包 过 滤 又 可 分 为 静态 包 过 滤 和 动态 包 过 滤 两 种 。 

静态 包 过 滤 这 种 类 型 的 防火 墙根 据 定义 好 的 过 滤 规 则 审查 每 个 数据 包 , 以 便 确定 其 是 
否 与 某 一 条 包 过 滤 规 则 匹配 。 过 滤 规 则 基于 数据 包 的 报头 信息 进行 制定 。 报 头 信息 中 包括 
IP 源 地 址 IP 目标 地 址 、 传 输 协议 (TCP、UDP、ICMP 等 )、TCP/UDP 目标 端口 .ICMP 消息 
类 型 等 。 由 于 大 多 数 服 务 使 用 熟知 的 端口 号 ,因此 可 以 采用 在 过 滤器 中 允许 或 拒绝 相关 端 
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口 信 息 的 办 法 来 过 滤 。 例 如 ,FTP 程序 在 连接 期 间 使 用 两 对 端口 号 (不 过 一 般 的 Internet 
服务 对 所 有 的 通信 都 只 使 用 一 对 端口 号 ) ,第 一 对 端口 号 用 于 FTP 的 “命令 通道 ”提供 登录 
和 执行 命令 的 通信 链 路 ,而 另 一 对 端口 号 则 用 于 FTP 的 “数据 通道 ”提供 客户 机 和 服务 器 之 
间 的 文件 传送 。 在 一 般 的 FTP 会话 过 程 中 ,客户 机 首先 向 服务 器 的 端口 21( 命 令 通道 ) 发 
送 一 个 TCP 连接 请 求 ,然后 执行 LOGIN 、DIR 等 各 种 命令 。 一 旦 用 户 请 求 服务 器 发 送 数 
据 ,FTP 服务 器 就 用 其 20 端口 (数据 通道 ) 向 客户 的 数据 端口 发 起 连接 。FTP 服务 器 监听 
来 自 TCP 端口 号 21 的 连接 请 求 , 且 与 处 于 非 被 动 模式 的 客户 用 端口 20 进行 出 网 数据 连 
接 。 因 此 ,如 果 人 允许 FTP 连接 通过 过 滤器 到 达 内 部 网 , 则 意味 着 允许 所 有 在 首部 带 有 20 和 
21 号 端口 信息 的 包 通 过 。 另 一 方面 ,比如 NFS, 它 要 用 到 RPC( 基 于 端口 动态 分 配 的 协 
议 ), 并 且 每 次 连接 使 用 不 同 的 端口 号 。 允 许 这 些 服 务 便 会 引起 安全 问题 。 有 些 黑客 的 攻击 
可 用 一 些 高 级 过 滤 规 则 ,如 检查 IP 数据 报 的 可 选项 、 片 偏 移 等 方法 。 静态 包 过 滤 的 明显 缺 
陷 是 ,为 了 实现 期 望 的 通信 , 它 必须 保持 一 些 端口 永久 开放 ,这 就 为 潜在 的 攻击 提供 了 机 会 。 


工作 站 


工作 站 


包 过 滤 路 由 器 工作 站 


服务 器 


内 部 网 络 


9.2 数据 包 过 滤 


动态 包 过 滤 采 用 动态 设置 包 过 滤 规 则 的 方法 ,避免 了 静态 包 过 滤 所 具有 的 问题 。 这 种 
技术 后 来 发 展 成 为 所 谓 包 状态 监测 (Stateful Inspection) 技 术 。 采 用 这 种 技术 的 防火 墙 对 
通过 其 建立 的 每 一 个 连接 都 进行 跟踪 ,并 且 根据 需要 可 动态 地 在 过 滤 规 则 中 增加 或 更 改 。 
状态 监视 器 作为 防火 墙 技术 其 安全 特性 最 佳 , 它 采用 了 一 个 在 网 关上 执行 网 络 安全 策略 的 
软件 引擎 一 一 检测 模块 。 检 测 模块 在 不 影响 网 络 正常 工作 的 前 提 下 ,采用 抽取 相关 数据 的 
方法 对 网 络 通信 的 各 层 实施 监测 ,抽取 部 分 数据 , 即 状态 信息 ,并 动态 地 保存 起 来 作为 以 后 
制定 安全 决策 的 参考 。 检 测 模块 支持 多 种 协议 和 应 用 程序 ,并 可 以 很 容易 地 实现 应 用 和 服 
务 的 扩充 。 与 其 他 安全 方案 不 同 , 当 用 户 访问 到 达 网 关 的 操作 系统 前 ,状态 监视 器 要 抽取 有 
关 数 据 进行 分 析 ,结合 网 络 配置 和 安全 规定 做 出 接纳 .拒绝 .鉴定 或 给 该 通信 加 密 等 决定 。 
一 且 某 个 访问 违反 安全 规定 ,安全 报警 器 就 会 拒绝 该 访问 ,并 做 下 记录 向 系统 管理 器 报告 网 
络 状态 。 状 态 监视 器 的 缺点 是 配置 非常 复杂 ,而 且 会 降低 网 络 的 速度 , 它 也 允许 外 部 客户 和 
内 部 主机 的 直接 连接 ,不 提供 用 户 的 鉴别 机 制 。 

包 过 滤 规 则 有 时 会 非常 复杂 。 特 别 是 要 对 已 有 规则 设置 一 些 例 外 的 话 , 那 这 些 规则 就 
会 非常 复杂 了 。 尽 管 可 采用 一 些 测试 程序 来 检验 ,但 仍然 可 能 留 下 安全 漏洞 。 包 过 滤 并 不 
能 对 网 络 提供 绝对 安全 的 保护 。 还 有 , 包 过 滤 可 以 限制 命令 类 的 信息 通过 防火 墙 , 但 若 要 对 
传输 的 数据 进行 过 滤 是 不 可 能 的 ,因为 这 必须 要 理解 特定 服务 所 传输 的 内 容 。 为 了 达到 此 
目的 ,需要 提供 应 用 级 的 控制 。 
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9.2.2 应 用 级 网 关 


应 用 级 网 关 也 常 称 为 代理 服务 器 。 应 用 级 网 关 提供 两 个 网 络 间 传 输 的 高 水 平 的 控制 ， 
即 能 进行 特定 服务 内 容 的 监控 和 提供 基于 网 络 安全 策略 的 过 滤 。 因 此 ,对 任何 所 需 的 应 用 ， 
可 在 网 关上 安装 相应 的 代理 程序 来 管理 ,让 特定 的 服务 数据 通过 网 关 。 应 用 级 网 关 的 结构 
如 图 9. 3 所 示 。 


应 用 级 网 关 
客户 机 | 二 -| 服务 器 代理 ]- | 客户 代理 =| 服务 器 
服务 器 | 上 -| 客户 代理 | 服务器 代理 客户 机 
安全 网 络 不 安全 网 络 


9%.3 应 用 级 网 关 


应 用 代理 服务 器 可 以 在 网 络 应 用 层 提供 授权 检查 及 代理 服务 。 当 外 部 某 台 主机 试图 访 
问 ( 如 用 Telnet) 受 保护 网 时 , 它 必须 先 在 防火 墙 上 经 过 身份 认证 。 通 过 身份 认证 后 ,防火墙 
运行 一 个 专门 为 Telnet 设计 的 程序 ,把 外 部 主机 与 内 部 主机 相连 接 。 在 这 个 过 程 中 ,防火 
墙 可 以 限制 用 户 访问 的 主机 、 访 问 的 时 间 及 访问 的 方式 。 同 样 , 受 保护 网 络 内 部 用 户 访问 外 
部 网 时 也 须 先 登录 到 防火 墙 上 ,通过 验证 后 才 可 使 用 Telnet 或 FTP 等 有 效 命令 。 

一 个 代理 服务 器 对 于 客户 来 说 ,起 到 一 个 服务 器 的 作用 ,但 对 于 目的 服务 器 来 说 , 它 又 
是 一 个 客户 , 它 在 客户 和 目的 服务 器 之 间 建 立 了 一 个 虚拟 连接 。 尽 管 从 客户 方 看 来 ,代理 服 
务 器 似乎 是 透明 的 ,但 代理 服务 器 能 在 客户 的 数据 传 到 服务 器 之 前 对 任何 特定 类 型 的 数据 
进行 监测 和 过 滤 。 例 如 ,一 个 FTP 服务 器 允许 向 外 部 网 用 户 提 供 服务 ,为 了 保护 服务 器 免 
受 任何 可 能 的 攻击 ,防火 墙 中 的 FTP 代理 可 配置 为 拒绝 PUT 和 MPUT 命令 。 

一 个 代理 服务 器 也 是 一 个 针对 特定 服务 的 中 继 服 务 器 , 它 运行 在 主机 上 ,连接 着 安全 和 
非 安 全 网 络 , 在 应 用 层 上 而 不 是 IP 层 上 控制 数据 的 交换 。 这 样 , 就 使 得 凡是 代理 服务 器 能 
处 理 的 应 用 层 协议 ,都 能 在 安全 和 非 安全 网 络 之 间 禁 止 路 由 的 情况 下 ,仍然 能 经 由 代理 服务 
取得 中 继 完 成 数据 的 交换 。 图 9.4 是 一 个 FTP 代理 服务 器 的 示意 图 。 

为 了 让 任何 客户 都 能 访问 代理 服务 器 ,客户 端 和 服务 器 端 软件 必须 要 做 相应 修改 以 支 
持 代 理 连 接 。 在 图 9.4 中 ,FTP 客户 端 首先 要 通过 代理 服务 器 对 它 的 认证 ,然后 ,FTP 会 话 
才 在 代理 服务 器 的 约束 下 开始 进行 。 大 多 数 代理 服务 器 采用 更 复杂 的 认证 方法 ,如 安全 ID 
卡 , 这 种 机 制 每 次 产生 一 个 不 重复 的 、 唯 一 的 密 钥 。 

因为 代理 服务 器 对 IP 数据 包 的 所 有 数据 都 进行 扫描 ,所 以 与 卫 数据 包 过 滤 相 比 , 它 可 
以 具有 更 多 更 好 的 登记 ,日志 、 统 计 、 分 析 和 报告 功能 。 例 如 ,HTTP 代理 能 记录 用 户 所 访 
问 的 URL。 应 用 级 代理 的 另 一 个 特点 是 能 实行 更 强 的 用 户 身份 认证 。 例 如 , 当 用 户 从 非 安 
全 网 络 使 用 FTP 和 Telnet 服务 时 ,代理 服务 器 可 对 这 些 用 户 进行 强制 性 的 身份 认证 。 应 
用 网 关 代理 既 可 以 隐藏 内 部 IP 地 址 ,又 可 以 给 单个 用 户 授权 ,即使 攻击 者 盗用 了 一 个 合 
的 IP 地址 ,他 也 通 不 过 严格 的 身份 认证 。 因 此 应 用 级 网 关 比 报 文 过 滤 具 有 更 高 的 安全 性 。 

应 用 级 网 关 的 不 足 之 处 在 于 ,这 种 代理 技术 需要 为 每 个 应 用 网 关 写 专 门 的 程序 。 另 外 ， 
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为 了 通过 代理 服务 器 实现 连接 ,客户 端 软件 得 做 一 些 修改 以 支持 代理 服务 ,否则 就 要 由 用 户 
的 操作 来 蔡 代 。 例 如 , 若 要 连接 到 Telnet 服务 器 ,用 户 通常 要 先 通过 代理 服务 器 的 身份 认 
证 ,然后 再 通过 目的 Telnet 服务 器 的 认证 。 这 种 认证 使 得 应 用 网 关 不 透明 ,用 户 每 次 连接 
都 要 受到 “盘问 ”, 这 给 用 户 带 来 许多 不 便 。 不 过 一 个 修改 好 了 的 Telnet 客户 端 软件 能 让 代 
理 服务 器 对 用 户 透 明 ,用 户 只 需 在 Telnet 命令 行 里 指定 目的 服务 器 而 不 需 指定 代理 服 
务 器 。 


安全 数 FTP 代 
据 库 | 理 规则 
IP 过 小 
规则 
FTP 客 户 -|- 一 二- FTP 服务 器 
安全 网 络 不 安全 网 络 


9.4 FTP 代理 服务 器 


9.2.3 电路 级 网 关 


电路 级 网 关 是 一 个 通用 代理 服务 器 ,工作 在 TCP/IP 协议 的 TCP 层 ,仅仅 提供 TCP 连 
接 的 转发 而 不 提供 任何 其 他 的 报 文 处 理 和 过 滤 ( 见 图 9. 5)。 比 如 在 Telnet 的 连接 中 ,电路 
层 网 关 简单 地 进行 了 中 继 ,并 不 做 任何 审查 、 过 滤 或 协议 管理 。 它 只 在 内 部 连接 和 外 部 连接 


之 间 来 回复 制 字 节 ,但 隐藏 受 保护 网 络 的 CE 有 

有 关 信息 ,所 以 它 实际 上 是 一 个 透明 网 关 。 PR | 
有 些 电路 级 网 关 还 能 转发 UDP 报 文 。 全 全 

电路 级 网 关 可 以 说 是 一 种 特殊 类 型 的 应 用 ee NU 一 

级 网 关 。 因 为 应 用 级 网 关 能 配置 成 一 旦 用 | 加 一 上 

户 身份 认证 成 功 , 便 允 许 所 有 信息 通过 ,就 | 客户 -二 -一 -了 -服务 器 

如 同 电路 级 网 关 一 样 。 安全 网 络 不 安全 网 络 
电路 级 网 关 有 时 也 能 处 理 入 网 的 UDP 图 9.5 电路 级 网 关 


或 TCP 连接 。 但 是 ,处 于 安全 网 络 内 的 客户 端 ,必须 要 预先 通知 网 关 , 将 有 这 样 的 包 要 
到 来 。 

一 个 熟知 的 电路 级 网 关 的 例子 是 SOCKS。 由 于 SOCKS 不 对 通过 的 数据 流 做 监测 和 
过 滤 ,所 以 可 能 出 现 安全 问题 。 要 最 小 化 安全 问题 ,就 要 使 用 外 部 网 络 中 的 可 信任 服务 和 
资源 。 

电路 层 网 关 常 用 于 对 外 连接 ,此 时 假设 网 络 管理 员 对 其 内 部 用 户 是 信任 的 。 它 的 优点 
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是 主机 可 以 被 设置 成 混合 网 关 , 对 于 内 连接 它 支 持 应 用 层 或 代理 服务 ,而 对 于 外 连接 它 支持 
电路 层 功 能 。 这 样 ,使 得 防火 墙 系统 对 于 要 访问 Internet 服务 的 内 部 用 户 来 说 使 用 起 来 很 
方便 ,同时 又 能 提供 保护 内 部 网 络 免 于 外 部 攻击 。 


9.3 ”防火墙 的 体系 结构 


防火 墙 的 体系 结构 主要 有 3 种 : 双 宿 主机 防火 墙 结构 .屏蔽 主机 防火 墙 结构 和 屏蔽 子 
网 防火 墙 结构 。 


9.3.1 双 宿 主机 防火 墙 


双 宿 主机 (Dual-Homed Host) 防 火 墙 也 叫 双 穴 主机 网 关 , 是 用 一 台 装 有 两 块 网 卡 ( 故 称 
为 双 宿 ) 的 堡垒 主机 做 防火 墙 。 所 谓 堡垒 主机 ,是 一 种 配置 了 安全 防范 措施 的 网 络 计算 机 ， 
堡垒 主机 为 网 络 之 间 的 通信 提供 了 一 个 阻塞 点 ,如 果 没 有 堡垒 主机 ,网 络 之 间 就 不 能 相互 访 
问 ( 故 起 到 了 保 垒 的 作用 )。 堡 又 主机 上 的 两 块 网 卡 各 自 与 受 保护 网 和 外 部 网 相连 ,从 一 个 
网 络 到 另 一 个 网 络 发 送 的 IP 数据 包 必须 经 过 双 宿 主机 的 检查 。 堡 又 主机 上 运行 着 防火 墙 
软件 ,可 以 转发 应 用 程序 .提供 服务 等 。 堡 又 主机 可 以 采用 数据 包 过 滤 技 术 , 也 可 以 采用 代 
理 服务 技术 。 双 宿主 机 至 少 有 两 个 IP 地 址 。 在 这 种 防火 墙 里 ,IP 转发 是 被 禁止 的 , 即 在 两 
个 网 络 接口 中 的 IP 通信 是 断 开 的 ( 见 图 9.6) 。 


工作 站 
上 rf 


堡 圣 主机 工作 站 


站 服务 器 
内 部 网 络 


9.6 双 宿 网 关 防 火 墙 


双 宿 主机 防火 墙 实施 的 安全 策略 是 任何 没有 特别 允许 的 传输 都 是 被 禁止 的 。 因 此 双 宿 
主机 防火 墙 肯定 能 将 任何 来 自 未 知 服务 的 攻击 堵 住 。 

双 宿 主机 防火 墙 体系 结构 的 主要 优点 是 网 络 结构 比较 简单 .而且 由 于 内 、 外 部 网 络 之 间 
没有 直接 的 数据 交互 ,因而 较为 安全 。 

双 宿 主机 防火 墙 体系 结构 的 主要 弱点 是 一 旦 黑客 侵入 堡 公主 机 并 使 其 只 具有 路 由 功 
能 ,任何 Internet 上 的 用 户 均 可 以 随便 访问 内 部 网 络 了 。 


9.3.2 屏蔽 主机 防火 墙 


如 果 一 个 信息 服务 器 (如 Web 或 FTP 服务 器 ) 不 仅 需 要 为 内 部 也 要 为 外 部 的 用 户 提供 
服务 的 话 , 那 么 它 可 以 安装 在 受 保护 的 网 络 里 面 , 或 安装 在 防火 墙 和 路 由 器 之 间 。 当 信息 服 
务 器 安装 在 防火 墙 和 路 由 器 之 间 时 ,防火 墙 必须 有 相应 的 代理 以 使 安全 网 络 里 面 的 用 户 能 
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访问 该 信息 服务 器 (因为 这 时 信息 服务 器 是 在 防火 墙 外 面 ) ,同时 为 了 安全 ,路 由 器 也 要 进行 
包 过 滤 的 配置 ,这 种 类 型 的 防火 墙 就 叫做 屏蔽 主机 防火 墙 。 

屏蔽 主机 防火 墙 由 包 过 滤 路 由 器 (也 称 屏 项 路 由 器 ) 和 堡垒 主机 (用 作 应 用 级 网 关 ) 组 
成 。 它 采用 屏蔽 路 由 器 和 堡垒 主机 双重 安全 设施 ,使 所 有 进出 的 数据 都 要 经 过 屏蔽 路 由 器 
和 堡 台 主 机 ,保证 了 网 络 级 和 应 用 级 的 安全 。 路 由 器 进行 包 过 滤 , 堡 侄 主机 进行 应 用 安全 控 
制 ( 见 图 9. 7)。 这 是 一 种 很 可 靠 的 设计 ,一 个 黑客 必须 穿 透 路 由 器 和 堡垒 主机 才能 够 到 达 
内 部 网 络 。 为 了 使 堡垒 主机 具备 足够 强 的 抗 攻击 性 能 ,在 堡垒 主机 上 只 安装 最 小 的 服务 .并 
且 所 拥有 的 权限 也 是 最 低 的 。 


ry 
路 由 器 堡 难 主机 | 上 器 工作 站 


| 服务 器 
内 部 网 络 


9.7 屏蔽 主机 防火 墙 


在 实现 时 ,通常 是 一 个 堡垒 主机 安装 在 内 部 网 络 上 ,在 路 由 器 上 设立 过 滤 规 则 ,并 使 这 
个 堡垒 主机 成 为 从 外 部 网 络 唯一 可 直接 到 达 的 主机 ,这 确保 了 内 部 网 络 不 受 未 被 授权 的 外 
部 用 户 的 攻击 。 如 果 受 保护 网 是 一 个 虚拟 扩展 的 本 地 网 , 即 没 有 子 网 和 路 由 器 ,那么 内 部 网 
的 变化 不 影响 堡垒 主机 和 屏蔽 路 由 器 的 配置 。 将 危险 带 限制 在 堡垒 主机 和 屏蔽 路 由 器 。 网 
关 的 基本 控制 策略 由 安装 在 上 面 的 软件 决定 。 其 中 的 路 由 器 被 配置 成 为 可 转发 所 有 不 可 信 
任 的 通信 到 保 垒 主机 和 信息 服务 器 ,由 于 内 部 网 络 与 保 垒 主机 在 同一 个 子 网 内 ,安全 策略 可 
以 允许 内 部 用 户 直接 访问 外 部 网 络 ,或 强制 使 他 们 用 代理 服务 访问 外 部 网 络 ,实现 这 些 依 赖 
于 配置 路 由 器 的 过 滤 规 则 ,所 以 路 由 器 仅仅 接受 从 堡垒 主机 发 起 的 出 网 通信 连接 。 

在 屏蔽 主机 防火 墙 配置 下 ,允许 信息 服务 器 放 在 路 由 器 和 堡 公主 机 之 间 。 同 样 , 由 安全 
策略 决定 外 部 和 内 部 用 户 是 直接 访问 信息 服务 器 还 是 必须 经 由 堡垒 主机 才能 访问 信息 服务 
器 。 如 果 要 实施 强 有 力 的 安全 保护 , 则 可 让 内 、\ 外 网 络 访问 信息 服务 器 的 通信 必须 经 由 堡垒 
主机 进行 。 

在 屏蔽 主机 防火 墙 配置 下 , 堡 公主 机 可 以 是 一 台 标 准 主机 ,或 者 为 了 构造 更 安全 的 防火 
墙 ,堡垒 主机 也 可 以 是 一 台 双 宿主 机 。 这 样 , 所 有 内 部 到 信息 服务 器 和 经 过 路 由 器 到 外 部 网 
络 的 通信 就 自动 地 被 强制 从 装 在 双 宿 主机 上 的 代理 服务 器 通过 。 因 而 堡垒 主机 就 成 为 外 部 
网 络 唯一 能 访问 的 主机 。 任 何人 都 不 能 登录 堡垒 主机 ,除非 攻击 者 侵入 系统 ,改变 了 配置 ， 
绕 过 了 防火 墙 。 

屏蔽 主机 防火 墙 易于 实现 也 最 为 安全 。 但 如 果 攻 击 者 设法 登录 到 堡垒 主 机 上 面 , 则 整 
个 内 部 网 络 都 将 面临 巨大 威胁 。 这 与 双 穴 主机 网 关 受 攻击 时 的 情形 差不多 。 


9.3.3 屏蔽 子 网 防火 墙 
在 屏蔽 主机 防火 墙 和 双 宿 主机 防火 墙 这 两 种 体系 结构 中 ,堡垒 主机 都 是 最 关键 的 ,如 果 
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攻击 者 设法 登录 到 它 上 面 ,内 部 网 络 中 的 其 余 主机 就 会 受到 很 大 威胁 。 为 了 解决 这 个 问题 ， 
出 现 了 屏蔽 子 网 防火 墙 体系 结构 。 

屏蔽 子 网 防火 墙 由 两 个 包 过 滤 路 由 器 和 一 个 堡垒 主机 构成 , 它 在 内 部 网 络 和 外 部 网 络 
之 间 建 立 了 一 个 被 隔离 的 子 网 ( 见 图 9. 8) 。 其 基本 实现 方法 是 在 外 部 和 内 部 网 络 之 间 创 建 
一 个 非 军事 区 (DMZ) ,其 中 可 以 安放 堡垒 主机 、Web 服务 器 和 Mail 服务 器 等 公用 服务 器 ， 
外 部 路 由 器 仅仅 允许 从 外 部 访问 堡垒 主 机 (也 可 到 信息 服务 器 ), 内 部 路 由 器 仅 允 许 从 内 部 
访问 堡 佐 主机 ,这 内 外 两 个 路 由 器 强制 使 得 所 有 和 人 网 和 出 网 通信 都 要 通过 堡垒 主机 。 

设置 非 军 事 区 的 一 个 重要 好 处 就 是 由 于 两 个 路 由 器 强制 使 得 内 、 外 两 方 的 网 络 系统 必 
须 通 过 堡 鱼 主 机 ,那么 保 牺 主机 就 没 必 要 是 双 宿 主机 了 ,这 就 提供 了 比 双 宿 主机 更 快 的 吞吐 
量 。 不 过 ,这 将 使 路 由 器 的 配置 更 复杂 ,配置 不 当 则 会 引发 安全 问题 。 


r------------------- a 
堡垒 主机 


- 量 


Er | 全 2 


外 部 路 由 器 内 部 路 由 器 


防火 墙 FTP 服 务 器 


WWW 服 务 器 


Telnet 服 务 器 
9.8 ”屏蔽 子 网 防火 墙 


在 很 多 实现 中 ,将 两 个 包 过 滤 路 由 器 放 在 子 网 的 两 端 ,在 子 网 内 构成 一 个 DNS, 内 部 网 
络 和 外 部 网 络 均 可 访问 被 屏蔽 子 网 ,但 禁止 它们 穿 过 被 屏蔽 子 网 通信 。 有 的 屏蔽 子 网 中 还 
设 有 一 堡垒 主机 作为 唯一 可 访问 点 ,支持 终端 交互 或 作为 应 用 网 关 代理 。 这 种 配置 的 危险 
带 包括 堡垒 主机 、 子 网 主机 及 所 有 连接 内 网 .外 网 和 屏蔽 子 网 的 路 由 器 。 

屏蔽 子 网 防火 墙 提供 了 强 有 力 的 安全 保护 ,因为 人 侵 者 要 穿 过 三 层 屏障 才能 到 达 内 部 
网 络 , 即 使 堡垒 主机 被 和 人 侵 者 控制 ,内 部 网 络 仍 会 受到 内 部 包 过 滤器 的 保护 。 如 果 攻 击 者 试 
图 完全 破坏 防火 墙 ,他 必须 重新 配置 连接 3 个 网 的 路 由 器 , 既 不 切断 连接 又 不 要 把 自己 锁 在 
外 面 , 同 时 又 不 使 自己 被 发 现 , 这 还 是 可 能 的 。 但 若 禁止 网 络 访问 路 由 器 或 只 允许 内 网 中 的 
某 些 主机 访问 它 , 则 攻击 会 变 得 很 困难 。 在 这 种 情况 下 ,攻击 者 得 先 侵入 堡垒 主机 ,然后 进 
入 内 网 主机 ,再 返回 来 破坏 屏蔽 路 由 器 ,并 且 整 个 过 程 中 不 能 引发 警报 。 因 此 屏蔽 子 网 防火 
墙 在 各 种 类 型 的 防火 墙 中 提供 了 最 高 级 别 的 安全 保护 。 

综 上 所 述 ,防火 墙 作为 网 络 安全 政策 和 策略 中 的 一 个 组 成 部 分 ,减轻 了 网 络 和 系统 被 用 
于 非法 和 恶意 目的 的 风险 。 虽 然 防火 墙 并 不 是 解决 网 络 安全 问题 的 万 能 药方 ,但 作为 维护 
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网 络 安全 的 关键 技术 之 一 , 它 在 今后 采用 的 网 络 安全 防范 体系 中 , 仍 将 占据 着 举足轻重 的 
位 置 。 


9.4 关键 术语 


防火 墙 (Firewall) 

软件 防火 墙 (Software Firewall) 

硬件 防火 墙 (Hardware Firewall) 
单一 主机 防火 墙 (Host Firewall) 

应 用 级 网 关 (Application-Level Gateway) 
电路 级 网 关 (Circuit-Level Gateway) 
堡垒 主机 (Bastion Host) 

双 宿 主机 防火 墙 (Dual-Homed Host Firewall) 
屏蔽 主机 防火 墙 (Screened Host Firewall) 
屏蔽 子 网 防火 墙 (Screened-Subnet Firewall) 


代理 服务 器 防火 墙 是 如 何 实 现 的 ? 
.7 假如 一 个 公司 希望 实现 一 个 高 安全 性 能 的 防火 墙 来 隔离 用 户 做 出 的 内 部 和 外 部 
请 求 ,你 将 推荐 哪 种 体系 结构 的 防火 墙 ? 


9.5 习 题 9 
9.1 什么 是 防火 墙 7 防火 墙 能 防 病毒 吗 ? 
9.2 简 述 防火 墙 的 主要 功能 。 
9.3 简 述 防火 墙 的 分 类 。 
9.4 简 述 防火 墙 的 局 限 性 。 
9.5 怎样 通过 防火 墙 进行 数据 包 过 滤 ? 
9.6 
9 


第 10 竟 入 侵 检 测 


本 章 导读 


> 
> 


本 章 主要 介绍 入 侵 检 测 的 概念 .模型 分类、 技术 等 内 容 。 

入 侵 检测 (Intrusion Detection) 是 指 通过 对 行为 、 安 全 上 日志 或 审计 数据 或 其 他 网 络 
上 可 以 获得 的 信息 进行 操作 ,检测 到 对 系统 的 闻 入 或 闻 入 的 企图 。 

入 侵 检 测 是 防火 墙 的 合理 补充 , 它 帮助 系统 对 付 网 络 攻击 ,扩展 了 系统 管理 员 的 安 
全 管理 能 力 (包括 安全 审计 、 监 视 、 进 攻 识 别 和 响应 ) ,提高 了 信息 安全 基础 结构 的 完 
整 性 。 采 用 入 侵 检 测 系 统 是 预警 、 监 控 、 处 置 网 络 攻击 的 有 效 方法 。 

一 个 入 侵 检 测 系 统 (IDS) 通 常 由 3 个 部 分 组 成 : 提供 事件 记录 流 的 信息 资源 ; 发 现 
入 侵 事 件 的 分 析 引 擎 ; 对 分 析 引 擎 的 输出 做 出 反应 的 响应 组 件 。 

有 影响 的 入 侵 检 测 模型 主要 有 IDES 模型 IDM 模型 以 及 公共 入 侵 检测 框架 CIDF 。 
根据 数据 源 的 不 同 ,通常 可 以 分 为 基于 主机 的 入 侵 检测 系统 基于 网 络 的 入 侵 检 测 
系统 和 分 布 式 入 侵 检测 系统 3 种 。 

根据 分 析 引 擎 所 采用 的 技术 ,可 以 将 入 侵 检 测 技术 分 为 异常 检测 (Anomaly 
Detection) 技 术 和 误 用 检测 (Misuse Detection) 技 术 两 大 类 。 

异常 检测 提取 正常 模式 审计 数据 的 数学 特征 ,检查 事件 数据 中 是 否 存 在 与 之 相 违背 的 
异常 模式 。 误 用 检测 则 搜索 审计 事件 数据 ,查看 其 中 是 否 存在 预先 定义 的 入 侵 模 式 。 
入 侵 防 御 系 统 (Intrusion Prevention System,IPS) 是 一 种 能 够 检测 已 知 和 未 知 攻 
击 , 并 且 成 功 阻 止 攻击 的 软 、 硬 件 系 统 , 是 网 络 安全 领域 为 弥补 防火 墙 及 入 侵 检测 系 
统 (IDS) 的 不 足 而 新 发 展 起 来 的 一 种 计算 机 信息 安全 技术 。 

IPS 与 IDS 最 主要 的 不 同 就 是 IPS 能 够 提供 主动 性 的 防御 ,在 遇 到 攻击 时 能 够 检测 
并 尝试 阻止 入 侵 , 而 IDS 仅仅 是 检测 到 攻击 。 

IPS 系统 根据 部 署 方式 可 分 为 3 类 : 基于 主机 的 入 侵 防 御 系 统 、 基 于 网 络 的 入 侵 防 
御 系 统 和 应 用 入 侵 防 御 系 统 。 

IPS 提供 主动 防御 ,通过 一 个 网 络 端口 接收 来 自 外 部 系统 的 流量 ,数据 流 经 过 IPS 
处 理 引 擎 进行 大 规模 并 行 深层 检测 ,检查 确认 其 中 不 包含 异常 活动 或 可 疑 内 容 后 ， 
再 通过 另外 一 个 端口 将 它 传送 到 内 部 系统 中 。 

IPS 的 主要 技术 特征 有 : 嵌入 式 在 线 运行 模式 、 深 入 分 析 和 控制 IPS、 高 质量 的 入 侵 
特征 库 、 高 效 处 理 数 据 包 的 能 力 和 强大 的 响应 功能 。 

IPS 技术 主要 面 对 的 挑战 有 3 个: (1) 单 点 故障 ; (2) 性 能 瓶颈 ; (3) 误 报 和 漏 报 。 今 
后 会 向 3 个 方向 发 展 : 标准 化 与 智能 化 、 自 身 发 展 与 完善 .与 防火 墙 IDS 等 网 络 安 
全 技术 相 结合 。 


防火 墙 作为 网 络 安全 技术 中 最 常用 的 方法 之 一 ,其 安全 防护 的 层次 处 在 网 络 的 边界 ,因此 
虽然 能 阻挡 外 部 攻击 者 ,但 对 内 部 攻击 却 无 能 为 力 。 另 外 , 它 的 局 限 性 也 使 得 它 不 能 防止 通 向 
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站 点 的 后 门 , 无 法 防范 数据 驱动 型 的 攻击 ,不 能 防止 用 户 由 Internet 上 下 载 被 病毒 感染 的 计算 
机 程序 或 将 该 类 程序 附 在 电子 邮件 上 传输 ,即使 是 某 些 防火 墙 本 身 也 会 引起 一 些 安全 问题 。 

数据 加 密 和 认证 技术 作为 提高 信息 系统 及 数据 安全 性 、 保 密 性 和 防止 秘密 数据 被 破解 
所 采用 的 主要 手段 之 一 ,也 是 一 种 静态 的 被 动 防护 ,对 内 部 攻击 者 也 无 能 为 力 ,因为 它们 持 
有 私 钥 。 

安全 研究 的 历史 给 了 我 们 一 个 有 价值 的 教训 一 一 没有 100% 的 安全 方案 ,无 论 多 么 安 
全 的 方案 都 可 能 存在 这 样 或 那样 的 漏洞 ,不管 在 网 络 中 加 入 多 少 入 侵 预 防 措施 (如 加 密 、 防 
火 墙 和 认证 ) ,通常 还 是 会 有 一 些 被 人 利用 而 入 侵 的 薄弱 环节 。 当 一 个 人 侵 ( 入 侵 的 定义 为 
“一 些 试 图 损害 一 个 资源 的 完整 性 有效 性 的 行为 集合 ”) 行 为 发 生 时 ,如 果 能 被 足够 快 地 检 
测 出 来 ,并 在 系统 被 破坏 和 数据 被 威胁 之 前 入侵 者 就 能 被 确认 和 逐 出 系统 的 话 , 网 络 系统 的 
安全 性 无 疑 将 大 大 提高 。 因 此 ,在 有 了 入 侵 预 防 技术 (如 加 密 、 防 火 墙 和 认证 ) 作 为 第 一 道 防 
线 之 后 ,为 了 对 抗 内 部 攻击 ,还 需要 在 网 络 中 建立 完善 的 主动 防御 机 制 一 一 人 侵 检测 系统 
(IDS) 作 为 保护 网 络 系统 的 第 二 道 防护 墙 。 而且, 一 个 有 效 的 入 侵 检测 系统 还 是 一 种 威慑 ， 
以 防止 攻击 者 的 入侵 。 


10.1 人 侵 检 测 概述 


10.1.1 入 侵 检 测 基本 概念 


入 侵 检测 (Intrusion Detection) 是 指 通过 对 行为 .安全 日 志 或 审计 数据 或 其 他 网 络 上 可 
以 获得 的 信息 进行 操作 ,检测 到 对 系统 的 问 入 或 奖 入 的 企图 。 入 侵 检 测 技术 是 一 种 动态 的 
网 络 检 测 技术 ,主要 用 于 识别 对 计算 机 和 网 络 资源 的 恶意 使 用 行为 ,包括 来 自 外 部 用 户 的 入 
侵 行为 和 内 部 用 户 的 未 经 授权 的 活动 。 一 旦 发 现 网 络 入 侵 现象 , 则 应 当做 出 适当 的 反应 。 对 
于 正在 进行 的 网 络 攻击 , 则 应 采取 适当 的 方法 来 阻 断 攻 击 ( 与 防火 墙 联动 ) ,以 减少 系统 损失 。 
对 于 已 经 发 生 的 网 络 攻击 , 则 应 通过 分 析 日 志 记 录 找 到 发 生 攻 击 的 原因 和 入 侵 者 的 踪迹 ,作为 
增强 网 络 系统 安全 性 和 追究 人 侵 者 法 律 责任 的 依据 。 它 从 计算 机 网 络 系统 中 的 若干 关键 点 收 
集 信息 ,并 分 析 这 些 信息 ,察看 网 络 中 是 否 有 违反 安全 策略 的 行为 得 到 袭击 的 迹象 。 

人 侵 检测 系统 由 入 侵 检测 的 软件 与 硬件 组 合 而 成 ,是 防火 墙 之 后 的 第 二 道 安全 闸门 ,在 
不 影响 网 络 性 能 的 情况 下 能 对 网 络 进行 监测 ,提供 对 内 部 攻击 、 外 部 攻击 和 误 操作 的 实时 保 
护 。 它 的 主要 任务 如 下 。 

。 监视 ,分 析 用 户 及 系统 活动 。 

。 对 系统 构造 和 弱点 的 审计 。 

。 识别 反映 已 知 进攻 的 活动 模式 并 向 相关 人 士 报警 。 

。 异常 行为 模式 的 统计 分 析 。 

。 评估 重要 系统 和 数据 文件 的 完整 性 。 

。 操作 系统 的 审计 跟踪 管理 ,并 识别 用 户 违反 安全 策略 的 行为 。 


对 一 个 成 功 的 入 侵 检 测 系统 来 讲 , 它 不 但 可 以 使 系统 管理 员 时 刻 了 解 网 络 系统 (包括 程 
序 、 文 件 \ 硬 件 设 备 等 ) 的 任何 变更 ,还 能 给 网 络 安全 策略 的 制定 提供 指南 ; 入 侵 检 测 的 规模 
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还 应 根据 网 络 威胁 、 系 统 构 造 和 安全 需求 的 改变 而 改变 , 即 必须 能 够 适用 于 多 种 不 同 的 环 
境 ; 入 侵 检测 系统 在 发 现 攻击 后 ,应 及 时 做 出 响应 ,包括 切断 网 络 连 接 、 记 录 事 件 、 报 警 等 ; 
更 为 重要 的 一 点 是 , 它 应 该 易于 管理 和 配置 ,从 而 使 非 专 业 人 员 非 常 容 易 地 获得 网 络 安全 。 

一 个 人 侵 检测 系统 (IDS) 通 常 由 以 下 3 个 部 分 组 成 。 

。 提供 事件 记录 流 的 信息 资源 。 

。 发 现 人 侵 事件 的 分 析 引 擎 。 

。 对 分 析 引 擎 的 输出 做 出 反应 的 响应 组 件 。 


10.1.2 入 侵 检 测 系统 基本 模型 


1980 年 ,James P. Anderson 在 他 的 一 份 题 为 Computer Security Threat Monitoring 
and Surveillance( 计 算 机 安全 威胁 监控 与 监视 ) 的 技术 报告 中 ,第 1 次 详细 阐述 了 入 侵 检测 
的 概念 。 他 提出 了 一 种 对 计算 机 系统 风险 和 威胁 进行 分 类 的 方法 ,并 将 威胁 分 为 外 部 渗透 、 
内 部 渗透 和 不 法 行为 3 种 ,还 提出 了 利用 审计 跟踪 数据 监视 入 侵 活 动 的 思想 。 这 份 报告 被 
公认 为 是 人 侵 检测 的 开山 之 作 。 在 此 之 后 ,有 关 入 侵 检测 系统 模型 和 技术 的 研究 也 逐渐 发 
展 起 来 ,其 中 有 影响 的 入侵 检测 模型 主要 有 人 侵 检 测 专家 系统 (IDES) 模 型 .层次 化 人 侵 检 
测 (IDMD) 模 型 以 及 公共 入 侵 检 测 框架 (CIDF) 。 

1. 入 侵 检测 专家 系统 模型 

1984 一 1986 年 ,乔治 敦 大 学 的 Dorothy Denning 和 SRI/CSL(SRI 公司 计算 机 科学 实 
验 室 ) 的 Peter Neumann 提出 了 一 个 实时 入 侵 检测 系统 模型 , 取 名 为 IDES( 入 侵 检 测 专 家 
系统 )。 它 独立 于 特定 的 系统 平台 .应 用 环境 .系统 弱点 以 及 人 侵 类 型 ,为 构建 人 侵 检测 系统 
提供 了 一 个 通用 的 框架 ( 见 图 10. 1)。 


从 图 10.1 中 可 以 看 出 ,该 模型 由 6 个 [持原 | 一 一 | 安全 下 按 吕 | 一 一 [对象 ] 
部 分 组 成 : 主体 (Subject) .对象 (Object) 、 
审计 记录 (Audit Records) ,轮廓 特征 (Profile) 、 审计 数据 实时 信息 


异常 记录 (Anomaly Records) 和 活动 规则 
(Activity Rules)。 其 中 ,主体 指 系统 操作 添加 新 规则 [| 于 | Wl | 攻击 状态 
中 的 主动 发 起 者 ,例如 计算 机 操作 系统 的 进 2 
程 、 网 络 的 服务 连接 等 。 对 象 指 系统 所 管理 
的 资源 ,如 文件 .命令 .设备 等 。 主 体 和 客体 
有 时 是 会 相互 转变 的 。 例 如 当 操作 系统 进程 A 去 访问 文件 B 时 ,进程 A 是 主体 ,而 从 进程 
创建 者 的 角度 去 看 , 则 进程 A 为 对 象 。 因 此 模型 中 的 审计 数据 的 对 象 是 在 不 断 变化 的 , 具 
体 取决 于 入 侵 检测 系统 的 审计 策略 。 审 计 记 录 指 主体 对 对 象 实施 操作 时 系统 产生 的 数据 ， 
如 用 户 注 册 .命令 执行 ,文件 访问 等 。 轮 廓 是 IDES 模型 用 来 刻画 主体 对 对 象 的 行为 ,并 使 
用 随机 变量 (Metrics) 和 统计 模型 来 定量 描述 观测 到 的 主体 对 象 的 行为 活动 特征 。 异 常 记 
录 是 指 IDES 动态 地 更 新 轮廓 并 检测 异常 行为 , 当 发 现 异常 行为 时 产生 异常 记录 信息 。 活 
动 规则 指明 当 一 个 审计 记录 或 异常 记录 产生 时 应 采取 的 动作 。 

由 于 IDES 模型 无 法 检测 出 新 的 攻击 方法 ,1988 年 ,SRL/ CSL 的 Teresa Lunt 等 人 改进 
了 Denning 的 入 侵 检测 模型 ,并 开发 出 了 一 个 人 侵 检测 专家 系统 。 该 系统 包括 一 个 异常 检 
测 器 和 一 个 专家 系统 ,分 别 用 于 基于 行为 的 检测 (异常 检测 ,Anomaly Detection) 和 基于 知 
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识 的 检测 ( 误 用 检测 ,Misuse Detection)。 对 于 误 用 检测 ,需要 为 模式 匹配 器 准备 好 入侵 的 
模式 库 。 对 于 异常 检测 , 则 首先 利用 收集 的 数据 ， 
采取 一 定 的 统计 方法 建立 相应 的 系统 分 析 模 型 ， 
作为 系统 正常 运行 的 参考 基准 ,这 个 过 程 由 系统 
的 分 析 引 擎 完成 。 而 异常 检测 器 则 不 断 地 计算 相 
应 统计 量 的 变化 情况 ,一旦 系统 偏 移 参考 基准 超 
过 许可 范围 ,就 认为 系统 异常 。 一 种 改进 的 入 侵 
检测 模型 如 图 10. 2 所 示 。 

Denning 归纳 了 可 用 于 入 侵 检测 的 4 种 统计 

10.2 改进 的 IDES 入 侵 检测 模型 模型 。 

1) 操作 模型 (Operational Model) 

操作 模型 主要 针对 系统 中 的 事件 计数 。 例 如 ,在 一 定时 间 段 内 统计 输入 密码 错误 的 次 
数 。 该 模型 将 得 到 的 统计 值 与 门限 值 进 行 比较 ,如 果 超 出 正常 范围 就 触发 异常 响应 。 这 种 
模型 除了 可 以 应 用 于 异常 检测 之 外 ,同样 也 适用 于 误 用 检测 。 

2) 均值 与 标准 偏差 模型 (Mean and Standard Deviation Model) 

该 模型 基于 这 样 一 个 假设 : 分 析 器 根据 均值 和 标准 偏差 这 两 个 参量 就 可 以 了 解 系统 行 
为 的 度量 。 在 检测 过 程 中 ,如 果 观 察 到 的 系统 /用 户 行为 超出 了 可 以 信任 的 范围 ,就 认为 是 
异常 。 信 任 区 间 (Confidence Interval) 通 常用 与 均值 之 间 的 标准 偏差 d 来 表示 。 这 种 特征 
提取 的 方法 适用 于 事件 计数 .内 部 定时 以 及 资源 使 用 状况 等 统计 范畴 。 

3) 多 元 模型 (Multivariate Model) 

该 模型 是 均值 与 标准 偏差 模型 的 扩展 。 这 种 模型 基于 对 两 个 或 多 个 参量 之 间 的 相关 分 
析 , 摆 脱 了 依赖 于 单个 参量 来 判断 系统 异常 的 束缚 。 例 如 ,在 使 用 单个 参量 时 ,可 能 仅仅 针 
对 会 话 的 时 间 长 短 进行 判断 ,而 引入 多 元 模型 之 后 ,就 可 以 在 此 基础 上 结合 CPU 的 使 用 率 
等 进行 判断 ,从 而 提高 了 判断 的 准确 性 。 

4) 马尔 可 夫 过 程 模型 (Markov Process Model) 

该 模型 是 最 为 复杂 的 模型 。 检 测 器 把 每 一 种 不 同类 型 的 审计 事件 看 做 是 一 个 状态 变 
量 , 使 用 状态 转移 矩阵 (State Transition Matrix) 表 示 在 系统 状态 转移 的 过 程 中 存在 的 概率 
特征 (不 是 状态 本 身 的 概率 ,而 是 状态 转移 的 概率 )。 在 检测 过 程 中 ,使 用 正常 情况 下 的 状态 
转移 矩阵 ,针对 每 一 次 系统 的 实际 状态 变化 计算 其 发 生 的 概率 ,如 果 计 算 结果 非常 小 , 则 认 
为 是 出 现 了 异常 。 基 于 马尔 可 夫 模 型 的 检测 器 可 以 发 现 异 常 的 用 户 命 令 或 事件 序列 ,而 不 
仅仅 是 发 现 单个 异常 事件 。 这 种 方法 实际 上 提出 了 针对 事件 流 进行 状态 分 析 的 思想 。 

2. 层次 化 入 侵 检测 模型 

1988 年 的 莫 里 斯 蠕虫 事件 发 生 之 后 ,网 络 安全 才 真 正 引 起 了 军 方 、 学 术 界 和 企业 的 高 
度 重视 。 美 国 空军 、 国 家 安全 局 和 能 源 部 共同 资助 空军 密码 支持 中 心 、 劳 伦 斯 利 弗 摩尔 国家 
实验 室 、 加 州 大 学 戴 维 斯 分 校 和 Haystack 实验 室 开展 了 对 分 布 式 入 侵 检 测 系统 (DIDS) 的 
研究 。DIDS 是 分 布 式 入 侵 检 测 系统 历史 上 的 一 个 里 程 碑 , 它 的 检测 模型 采用 了 分 层 结构 ， 
属于 层次 化 入 侵 检测 模型 (IDM) ,包括 数据 、 事 件 、 主 体 、 上 下 文 .威胁 和 安全 状态 等 6 层 , 如 
表 10. 1 所 示 。 该 模型 给 出 了 当 网 络 中 的 计算 机 受 攻击 时 ,将 捕获 的 数据 流 抽象 加 工 成 IDS 
可 以 识别 形式 的 过 程 。 通 过 把 收集 到 的 原始 数据 进行 加 工 抽象 并 进行 数据 关联 操作 ,IDM 


审计 数据 源 


模式 匹配 器 轮廓 特征 引擎 


异常 检测 器 


策略 规则 
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构造 了 一 台 虚 拟 的 计算 机 环境 ,这 台 虚 拟 计算 机 由 所 有 相连 的 主机 和 网 络 组 成 。 将 分 布 式 
系统 看 做 一 台 虚 拟 的 计算 机 的 方法 简化 了 入 侵 行 为 识别 的 过 程 。 该 模型 也 适用 于 单 台 计算 
机 环境 。 


表 10.1 IDM 模型 


层 次 名 称 解释 说 明 
6 安全 状态 (Security State) 网 络 整体 安全 情况 
5 威胁 (Thread) 动作 产生 的 结果 种 类 
4 上 下 文 (Context) 事件 发 生 所 处 的 环境 
主体 (Subject) 事件 的 发 起 者 
事件 (Event) 日 志 记录 特征 性 质 和 表示 动作 描述 
数据 (Data) 操作 系统 或 网 络 访问 日 志 记录 


其 中 ,第 1 层 针对 的 客体 (Object) 包 括 主 机 操作 系统 的 审计 记录 、 局 域 网 监视 器 结果 和 
第 三 方 的 审计 软件 包 提 供 的 数据 。 在 该 层次 上 ,刻画 客体 的 语法 和 语义 与 数据 来 源 是 相关 
联 的 ,主机 或 网 络 上 的 所 有 操作 都 可 以 用 这 样 的 客体 表示 。 

第 2 层 处 理 的 客体 是 对 第 1 层 客体 的 扩充 ,该 层次 的 客体 称 为 事件 。 事 件 描 述 第 1 层 
的 客体 内 容 所 表示 的 含义 和 固有 特征 性 质 。 用 来 说 明 事件 的 数据 域 有 两 个 : 动作 (Action) 
和 领域 (Domain)。Action 刻画 了 审计 记录 的 动态 特征 ,Domain 给 出 了 审计 记录 的 对 象 的 
特征 。 事 件 的 Action 包括 会 话 开 始 、 会 话 结束 、. 读 文件 或 设备 . 写 文件 或 设备 .执行 进程 、. 进 
程 结束 、 创 建文 件 或 设备 .删除 文件 或 设备 、 移 动 文件 或 设备 .改变 权限 .改变 用 户 号 等 。 
Domain 包括 标签 ,认证 审计、 网 络 . 系统. 系统 信息 ,用户 信息 .应 用 工具 .拥有 者 、 非 拥有 

第 3 层 引 入 一 个 唯一 标识 号 , 即 主体 。 主 体 用 来 鉴别 在 网 络 中 跨越 多 台 主 机 使 用 的 
用 户 。 

第 4 层 ( 上 下 文 ) 用 来 说 明 事件 发 生 时 所 处 的 环境 ,或 者 给 出 了 事件 产生 的 背景 。 上 下 
文 (Context) 分 为 时 间 型 和 空间 型 两 类 。 时 间 型 Context 需要 选取 某 个 时 间 为 参考 点 ,然后 
利用 相关 的 事件 信息 来 检测 入 侵 。 空 间 型 Context 说 明了 事件 的 来 源 与 人 侵 行 为 的 相关 
性 , 它 指出 事件 来 源 于 哪个 特别 的 用 户 或 者 哪 台 主机 。 

第 5 层 考 虑 事件 对 网 络 和 主机 形成 的 威胁 。 当 把 事件 和 它 的 Context 结合 起 来 分 析 
时 ,就 能 够 发 现存 在 的 威胁 。 可 以 根据 误 用 的 特征 和 对 象 划分 威胁 类 型 , 即 人 侵 者 做 了 什么 
和 入 侵 的 对 象 是 什么 。 

第 6 层 用 1~100 来 表示 网 络 的 安全 状态 ,数字 值 越 高 , 则 网 络 的 安全 性 就 越 低 。 实 际 
上 ,可 以 将 网 络 安全 的 数字 值 看 成 是 对 系统 中 所 有 主体 产生 威胁 的 函数 。 

分 布 式 人 侵 检测 系统 在 实现 IDM 模型 时 ,采用 了 一 个 数据 库 保 存 各 层次 的 信息 ,安全 
管理 员 可 以 根据 需要 查询 相关 的 信息 。 

3. 公共 入 侵 检测 框架 

公共 入 侵 检测 框架 (CIDF) 是 一 个 人 侵 检测 系统 的 通用 模型 ,是 为 了 提高 IDS 产品 、 组 
件 及 与 其 他 安全 产品 之 间 的 互 操作 性 ,由 美国 国防 高 级 研究 计划 署 (DARPA) 和 Internet 工 
程 任 务 组 (IETF ) 的 入 侵 检测 工作 组 (IDWG ) 发 起 制定 的 一 系列 建议 草案 , 它 从 体系 结构 、 
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APT. 通 信和 机制 .语言 格式 等 方面 规范 IDS 的 标准 。CIDF 将 一 个 人 侵 检测 系统 分 为 以 下 部 


响应 事件 分 : 事件 产生 器 (Event Generator) 、 事 件 分 析 器 
响应 单元 (Event Analyzer)、 响 应 单元 (Response Units) 和 

于 | 全 生体 事件 数据 库 (Event Database) ,如 图 10. 3 所 示 。 
人 克 全 加 诬 | 在 这 个 模型 中 ,事件 产生 器 、 事 件 分 析 器 和 
原始 事件 事件 产生 器 原始 事件 响应 单元 通常 以 应 用 程序 的 形式 出 现 ,而 事件 


数据 库 则 往往 是 文件 或 数据 流 的 形式 ,很 多 IDS 
厂商 都 以 数据 收集 部 分 .数据 分 析 部 分 和 控制 

台 部 分 分 别 代替 事件 产生 器 .事件 分 析 器 和 响应 单元 。CIDF 将 IDS 需要 分 析 的 数据 统称 
为 事件 , 它 可 以 是 网 络 中 的 数据 包 , 也 可 以 是 从 系统 日 志 或 其 他 途径 得 到 的 信息 。 在 上 述 4 
个 组 件 知识 逻辑 实体 中 ,一 个 组 件 可 能 是 某 台 计算 机 上 的 一 个 进程 甚至 线程 ,也 可 能 是 多 个 
计算 机 上 的 多 个 进程 ,它们 以 GIDO( 统 一 入侵 检测 对 象 ) 格 式 进行 数据 交换 。GIDO 是 对 事 
件 进行 编码 的 标准 通用 格式 ,由 CIDF 描述 语言 CISL 定义 , 它 可 以 是 发 生 在 系统 中 的 审计 
事件 ,也 可 以 是 对 审计 事件 的 分 析 结 果 。 

事件 产生 器 的 任务 是 从 入 侵 检测 系统 之 外 的 计算 环境 中 收集 事件 ,并 将 这 些 事 件 转 换 
成 CIDF 的 GIDO 格式 传送 给 其 他 组 件 。 例 如 ,事件 产生 器 可 以 是 读 取 C2 级 审计 踪迹 并 将 
其 转换 成 GIDO 格式 的 过 滤器 ,也 可 以 是 被 动 地 监视 网 络 并 根据 网 络 数据 流产 生 事件 的 另 
一 种 过 滤器 ,还 可 以 是 SQL 数据 库 中 产生 事件 的 应 用 代码 。 

事件 分 析 器 从 其 他 组 件 收 到 的 GIDO 进行 分 析 , 并 将 产生 的 新 GIDO 再 传送 给 其 他 部 
件 。 分 析 器 可 以 是 一 个 轮廓 描述 工具 ,统计 ,检查 现在 的 事件 是 否 可 能 与 以 前 某 个 事件 来 自 
同一 个 事件 序列 ,也 可 以 是 一 个 特征 检测 工具 ,用 于 在 一 个 事件 序列 中 检查 是 否 有 已 知 的 误 
用 攻击 特征 。 此 外 ,事件 分 析 器 还 可 以 观察 事件 之 间 的 关系 ,将 有 联系 的 事件 分 类 到 一 起 ， 
以 利于 以 后 的 进一步 分 析 。 

响应 单元 处 理 收 到 的 GIDO ,并 根据 GIDO 采取 相应 的 措施 ,如 杀 死 相关 进程 ,将 连接 
复位 、 修 改 文件 权限 等 。 

事件 数据 库 用 来 存储 GIDO ,以 备 系统 需要 的 时 候 使 用 。 

由 于 CIDF 有 一 个 标准 格式 GIDO, 所 以 这 些 组 件 也 适用 于 其 他 环境 ,只 需要 将 典型 的 
环境 特征 转换 成 GIDO 格式 ,这 样 就 提高 了 组 件 之 间 的 消息 共享 和 互通 性 。 


10.3 ”CIDF 体系 结构 


10.2 和 信 侵 检测 系统 分 类 


入 侵 检 测 是 监视 计算 机 网 络 系统 中 违背 系统 安全 策略 行为 的 过 程 ,通常 由 数据 源 、 分 析 
引擎 和 响应 3 个 部 分 组 成 ,因此 可 以 分 别 从 这 3 个 角度 对 入 侵 检 测 系 统 进行 分 类 。 

根据 数据 源 的 不 同 , 通 常 可 以 分 为 基于 主机 的 入 侵 检测 系统 、 基 于 网 络 的 入 侵 检 测 系统 
和 分 布 式 人 侵 检测 系统 3 种。 为 了 检测 攻击 ,入 侵 检测 系统 必须 能 够 发 现 攻击 的 证 据 。 基 
于 主机 的 入 侵 检 测 通常 从 主机 的 审计 记录 和 日 志文 件 中 获得 所 需 的 主要 数据 ,并 辅 之 以 主 
机 上 的 其 他 信息 ,例如 文件 系统 属性 、 进 程 状态 等 ,在 此 基础 上 完成 检测 攻击 行为 的 任务 , 早 
期 的 入 侵 检测 系统 都 是 基于 主机 的 入 侵 检 测 系 统 。 随 着 网 络 环境 的 普及 ,出 现 了 大 量 基于 
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网 络 的 入 侵 检 测 系统 ,通过 监听 网 络 中 的 数据 包 来 获得 必要 的 数据 来 源 ,并 通过 协议 分 析 、 
特征 匹配 .统计 分 析 等 手段 发 现 当前 发 生 的 攻击 行为 。 分 布 式 入 侵 检测 系统 是 能 够 同时 分 
析 来 自主 机 系统 审计 日 志和 网 络 数据 流 的 人 侵 检测 系统 。 

针对 分 析 引 擎 的 不 同 ,可 分 为 异常 入侵 检测 和 误 用 入 侵 检测 两 大 类 。 在 误 用 检测 中 ,入 
侵 过 程 模型 及 它 在 被 观察 系统 中 留 下 的 踪迹 是 决策 的 基础 。 通 过 事先 定义 某 些 特征 的 行为 
是 非法 的 ,然后 将 观察 对 象 与 之 进行 比较 以 做 出 判别 。 误 用 检测 基于 已 知 的 系统 缺陷 和 和 人 
侵 模 式 , 它 能 够 准确 地 检测 到 某 些 特征 的 攻击 ,但 却 过 度 依赖 事先 定义 好 的 安全 策略 ,所 以 
无 法 检测 系统 未 知 的 攻击 行为 ,从 而 产生 漏 报 。 在 异常 检测 中 ,观察 到 的 不 是 已 知 的 入 侵 行 
为 ,而 是 所 研究 的 通信 过 程 中 的 异常 现象 , 它 通过 检测 系统 的 行为 或 使 用 情况 的 变化 来 完 
成 。 通 过 建立 正常 轮廓 ,明确 所 观察 对 象 的 正常 情况 ,然后 决定 在 何 种 程度 上 将 一 个 行为 标 
为 “异常 ”, 并 如 何 做 出 具体 决策 。 异 常 检 测 可 以 识别 出 那些 与 正常 过 程 有 较 大 偏差 的 行为 ， 
但 无 法 知道 具体 的 入 侵 情况 。 由 于 对 各 种 网 络 环境 的 适应 性 不 强 , 且 缺乏 精确 的 判定 准则 ， 
异常 检测 经 常会 出 现 虚 警 情况 ,但 可 以 检测 到 系统 未 知 的 攻击 行为 。 

响应 大 致 分 为 3 类 : 报警 响应 .手工 响应 和 主动 响应 。 其 中 大 部 分 系统 采用 的 是 报警 
响应 ,报警 响应 是 当 检 测 到 人 侵 行为 后 ,入 侵 检测 系统 向 网 络 系统 管理 员 或 相关 人 员 发 出 报 
警 信息 。 手 工 响应 是 系统 提供 有 限 的 、 预 先 编制 好 的 响应 程序 ,并 能 指导 网 络 管理 员 选 择 合 
适 的 程序 进行 响应 。 与 报警 响应 相 比 ,这 类 系统 的 优点 明显 ,但 是 仍然 会 给 攻击 者 留 下 较 大 
的 人 侵 时 间 窗 口 。 而 主动 人 侵 响 应 系统 不 需要 管理 员 手 工 干预 ,检测 到 入 侵 行为 后 ,系统 自 
动 进行 响应 决策 ,自动 执行 响应 措施 。 不 论 是 从 应 对 数量 惊人 的 入 侵 事件 考虑 ,还 是 从 响应 
时 间 考 虑 ,主动 人 侵 响应 系统 都 是 目前 较为 理想 的 响应 方法 。 

另外 ,根据 检测 速度 ,入侵 检测 系统 可 分 为 实时 检测 和 离线 检测 。 实 时 检测 是 指 一 个 系 
统 以 在 线 的 方式 检测 入 侵 ,并 且 当 入 侵 刚 刚 进入 时 即 给 出 警告 ,这 种 类 型 的 入 侵 需要 很 快 的 
反应 速度 。 基 于 网 络 的 检测 在 实时 环境 中 工作 起 来 要 容易 些 , 因 为 在 这 种 环境 中 可 以 监控 
网 络 流量 包 。 

下 面 主要 详细 介绍 基于 主机 的 人 侵 检 测 系统 、 基 于 网 络 的 人 侵 检测 系统 和 分 布 式 人 侵 
检测 系统 。 


10.2.1 基于 主机 的 入 侵 检 测 系统 


基于 主机 的 人 侵 检测 系统 (HIDS) 通 过 监视 与 分 析 主机 的 审计 记录 日志 等 信息 来 检测 
入 侵 。 它 的 数据 源 来 自 以 下 几 个 方面 。 

。 操作 系统 审计 记录 (由 专门 的 操作 系统 机 制 产生 的 系统 事件 记录 ) 。 

。 系统 日 志 ( 由 系统 程序 产生 的 、 用 于 记录 系统 或 应 用 程序 事件 的 文件 ,通常 以 文本 文 

件 的 方式 存放 )。 

。 基于 应 用 的 日 志 信 息 。 

。 基于 目标 的 对 象 信息 。 

1) 操作 系统 审计 记录 

操作 系统 的 审计 记录 (Audit Trail) 由 包含 在 操作 系统 内 部 的 专门 的 审计 子 系统 产生 。 
这 些 审计 文件 由 审计 记录 组 成 ,每 条 审计 记录 描述 了 一 次 单独 的 系统 事件 。 当 系统 中 的 用 
户 采 取 动 作 或 调用 进程 时 ,引起 相应 的 系统 调用 或 执行 命令 ,此 时 审计 系统 就 会 产生 对 应 的 
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审计 记录 。 比 如 用 户 登 录 和 退出 事件 ,文件 和 对 象 存 取 事件 、 安 全 策略 改变 事件 .系统 关闭 
重启 事件 .账号 管理 事件 等 都 会 产生 审计 记录 。 一 般 对 于 每 类 事件 ,可 以 选择 审计 失败 的 事 
件 , 也 可 选择 审计 成 功 的 事件 ,或 者 两 者 都 审计 。 

2) 系统 日 志 

系统 日 志 是 反映 各 种 系统 事件 和 配置 的 文件 ,与 审计 记录 相 比 更 加 直观 化 和 人 性 化 。 
在 某 些 特殊 的 环境 下 ,可 能 无 法 获得 操作 系统 的 审计 记录 或 者 不 能 对 审计 记录 进行 正确 解 
释 ,此 时 系统 日 志 就 成 为 系统 安全 管理 必 不 可 少 的 信息 来 源 了 。 另 外 ,从 法 律 的 角度 来 说 ， 
在 系统 遭受 到 外 界 的 入 侵 攻 击 之 后 ,如 果 需 要 使 用 受 保护 系统 的 数据 源 作为 指控 的 证 据 , 那 
么 多 种 独立 的 数据 源 从 不 同 角度 反映 出 的 同一 个 事件 ,要 比 单个 数据 源 反映 的 事件 更 具 说 服 
力 。 但 是 系统 日 志 的 安全 性 与 操作 系统 的 审计 记录 相 比 ,仍然 要 差 一 些 。 原 因 有 以 下 两 个 。 

(1) 产生 系统 日 志 的 软件 通常 作为 应 用 程序 而 不 是 作为 操作 系统 的 子 系统 运行 ,相对 于 
由 操作 系统 内 核 或 专门 的 审计 子 系统 产生 的 审计 记录 来 说 ,更 容易 遭 到 恶意 的 破坏 和 修改 。 

(2) 系统 日 志 通常 存储 在 系统 未 经 保护 的 目录 中 ,并且 以 文本 方式 存储 ,而 审计 记录 则 
经 过 加 密 和 校 验 处 理 , 为 防止 恶意 的 算 改 提供 了 有 效 的 保护 机 制 。 

3) 基于 应 用 的 日 志 信 息 

目前 的 应 用 系统 越 来 越 趋 向 于 面向 对 象 和 分 布 式 结构 ,要 想 在 单一 的 操作 系统 层次 上 
获取 整个 系统 的 完整 信息 ,已 经 不 太 可 能 。 而 应 用 日 志 通 常 代表 了 系统 活动 的 用 户 级 抽象 
信息 ,相对 于 系统 级 的 安全 数据 来 说 ,去 除了 大 量 的 宛 余 信息 ,更 易于 管理 员 浏览 和 理解 。 
例如 数据 库 管理 系统 是 典型 的 需要 引入 审计 机 制 和 入 侵 检测 的 应 用 环境 ; WWW 服务 器 的 
日 志 信息 也 是 最 为 常见 的 应 用 级 数据 源 , 主 流 的 WWW 服务 器 都 提供 访问 日 志 机 制 。 

在 人 侵 检测 系统 中 ,信息 的 组 织 工作 通常 是 通过 对 产生 的 每 个 事件 插入 时 间 截 并 依次 
对 事件 进行 排序 来 完成 。 为 了 便于 用 户 对 审计 数据 更 好 地 加 以 理解 ,入 侵 检测 系统 有 时 需 
要 针对 不 同 来 源 的 事件 数据 流 进行 合并 以 及 从 人 工 智能 的 角度 对 原始 的 事件 数据 流 进 行 更 
高 层次 的 抽象 ,从 而 提取 出 原始 数据 背后 隐藏 的 具有 真正 意义 的 重要 信息 。 

4) 基于 目标 的 对 象 信息 

在 某 些 受 保护 的 系统 中 ,进行 完全 的 内 核 级 安全 审计 将 消耗 大 量 的 系统 资源 。 在 这 种 
情况 下 ,产生 了 面向 目标 进行 安全 监视 的 想法 。 在 确定 审计 目标 之 前 ,首先 需要 评估 出 系统 
中 关键 的 或 是 有 特殊 价值 的 对 象 ,针对 每 一 个 对 象 制定 信息 收集 和 监视 机 制 。 受 监视 目标 
的 每 一 次 状态 的 转变 都 将 与 系统 的 安全 策略 进行 比较 ,所 出 现 的 任何 差异 都 作为 日 志 记录 
平 来 ; 

常见 的 .基于 目标 的 监视 技术 是 完整 性 校 验 , 它 可 以 监视 系统 对 象 (例如 关键 文件 ) 的 状 
态 变 化 。 与 动态 的 审计 机 制 和 系统 日 志 不 同 , 这 种 方法 提供 的 是 静态 的 安全 检查 。 尽 管 静 
态 的 检查 不 能 完全 满足 实时 检测 的 目的 ,但 由 于 占用 系统 资源 少 ,检测 成 本 低 , 因 此 仍然 被 
认为 是 检测 人 侵 行 为 的 有 效 手段 。 

基于 主机 的 IDS 的 主要 优点 如 下 。 

(1) 能 更 准确 地 判断 攻击 是 否 成 功 。 基 于 主机 的 IDS 使 用 的 是 含有 已 发 生 事件 的 信 
息 ,可 以 比 基 于 网 络 的 IDS 更 加 准确 地 判断 攻击 是 否 成 功 。 

(2) 能 监视 特定 的 系统 活动 。 基 于 主机 的 IDS 监视 用 户 访问 文件 的 活动 ,包括 文件 存 
取 \ 改 变 文件 权限 .试图 建立 新 的 可 执行 文件 以 及 试图 访问 特殊 的 设备 。 例 如 ,基于 主机 的 


第 10 章 入 侵 检 测 251 


IDS 可 以 监督 所 有 用 户 的 登录 及 退出 系统 的 情况 ,以 及 每 位 用 户 在 连接 到 网 络 以 后 的 行为 ; 
还 可 监视 只 有 管理 员 才 能 实施 的 非 正 常 行为 ; 还 可 审计 能 影响 系统 记录 的 校 验 措施 的 改变 
以 及 主要 系统 文件 和 可 执行 文件 的 改变 。 系 统 能 够 查 出 那些 欲 改 写 重要 系统 文件 或 者 安装 
特洛伊 木马 或 后 门 的 尝试 并 将 它们 中 断 。 

(3) 基于 主机 的 IDS 可 以 检测 到 那些 基于 网 络 的 系统 察觉 不 到 的 攻击 。 例 如 ,来 自 网 
络 内 部 的 攻击 可 以 躲 开 基于 网 络 的 人 侵 检测 系统 。 

(4) 由 于 基于 主机 的 IDS 系统 安装 在 企业 的 各 种 主机 上 ,它们 更 加 适合 于 交换 的 环境 
和 加 密 的 环境 。 交 换 设备 可 将 大 型 网 络 分 成 许多 的 小 型 网 络 部 件 加 以 管理 ,所 以 从 覆盖 足 
够 大 的 网 络 范围 的 角度 出 发 ,很 难 确定 配置 基于 网 络 的 IDS 的 最 佳 位 置 。 而 基于 主机 的 入 
侵 检 测 系统 可 安装 在 所 需 的 重要 主机 上 ,在 交换 的 环境 中 具有 更 高 的 能 见 度 。 由 于 加 密 方 
式 位 于 协议 堆栈 内 ,所 以 基于 网 络 的 IDS 可 能 对 某 些 攻击 没有 反应 ,基于 主机 的 IDS 没有 
这 方面 的 限制 。 

(5) 检测 和 响应 速度 接近 实时 。 尽 管 基 于 主机 的 入 侵 检 测 系统 不 能 提供 真正 实时 的 反 
应 ,但 如 果 措 施 得 当 , 其 反应 速度 可 以 非常 接近 实时 。 

(6) 花费 更 加 低廉 。 


10.2.2 基于 网 络 的 入 侵 检测 系统 


在 计算 机 网 络 系统 中 ,局 域 网 普遍 采用 的 是 基于 广播 机 制 的 以 太 网 (Ethernet) 协 议 。 
该 协议 保证 传输 的 数据 包 能 被 同一 局 域 网 内 的 所 有 主机 接收 。 基 于 网 络 的 人 侵 检测 就 是 利 
用 以 太 网 这 一 特性 ,通过 在 共享 网 段 上 对 通信 数据 进行 侦 听 来 采集 数据 ,分 析 可 能 的 人 侵 。 
以 太 网 卡通 常 有 正常 模式 (Normal Mode) 条 收 模式 (Promiscuous Mode) 两 种 工作 模式 。 
在 正常 模式 下 ,网 卡 每 接收 到 一 个 到 达 的 数据 包 , 就 会 检查 该 数据 包 的 目的 地 址 ,如 果 是 本 
机 地 址 或 广播 地 址 , 则 将 数据 包 放 入 接收 缓冲 区 ; 若是 其 他 目的 地 址 的 数据 , 则 直接 丢弃 。 
因此 ,在 正常 模式 下 ,主机 仅 处 理 以 本 机 为 目标 的 数据 包 。 在 杂 收 模式 下 ,网 卡 可 以 接收 本 
网 段 内 传输 的 所 有 数据 包 , 无 论 这 些 数 据 包 的 目的 地 址 是 否 为 本 机 。 基 于 网 络 的 入 侵 检测 
系统 利用 网 卡 的 杂 收 模式 ,获得 经 过 本 网 段 的 所 有 数据 信息 ,从 而 实现 获取 网 络 数据 的 功 
能 。 另 外 ,因为 不 同 操作 系统 的 数据 链 路 访问 方式 不 一 样 , 所 以 根据 不 同 的 操作 系统 提供 不 
同 的 数据 链 路 访问 的 接口 ,来 获取 网 络 数据 包 。 例 如 网 络 监视 器 (Sniffer), 它 是 攻击 者 常用 
的 收集 信息 的 工具 ,也 被 广泛 应 用 在 基于 网 络 的 入 侵 检 测 系统 (NIDS) 中 进行 网 络 事件 信息 
的 收集 。 

除了 Sniffer 之 外 ,其 他 各 种 网 络 设 备 也 可 以 提供 用 于 入 侵 判 别 的 有 价值 信息 。 例 如 ， 
网 络 管理 系统 可 以 对 网 络 性 能 和 使 用 状况 进行 统计 。 防 火 墙 的 审计 信息 也 常 成 为 网 络 人 侵 
检测 系统 的 重要 辅助 信息 ,常常 可 以 用 来 分 析 入 侵 的 类 型 。 

基于 网 络 的 IDS 有 如 下 优点 。 

(1) 能 检测 基于 主机 的 系统 漏 掉 的 攻击 。 基 于 网 络 的 IDS 检查 所 有 数据 包 的 头 部 从 而 
发 现 恶 意 的 和 可 疑 的 行动 迹象 。 基 于 主机 的 IDS 无 法 查看 数据 包 的 头 部 ,所 以 它 无 法 检测 
到 这 一 类 型 的 攻击 。 例 如 ,许多 来 自 于 IP 地 址 的 拒绝 服务 型 攻击 (Denial of Service, DoS) 
只 能 在 它们 经 过 网 络 时 ,检查 包 的 头 部 才能 被 发 现 。 

(2) 攻击 者 不 易 转 移 证 据 一 一 因为 基于 网 络 的 IDS 实时 地 检测 网 络 通信 ,所 以 攻击 者 
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无 法 转移 证 据 。 被 捕获 的 数据 不 仅 包括 攻击 的 方法 ,而 且 还 包括 可 识别 黑客 身份 和 对 其 进 
行 起 诉 的 信息 。 

(3) 实时 检测 和 响应 。 基 于 网 络 的 IDS 可 以 在 恶意 及 可 疑 的 攻击 发 生 的 同时 将 其 检测 
出 来 ,并 做 出 更 快 的 通知 和 响应 。 例 如 ,一 个 基于 TCP 的 对 网 络 进行 的 拒绝 服务 攻击 
(DoS) 可 以 通过 将 基于 网 络 的 IDS 发 出 TCP 复位 信号 ,在 该 攻击 对 目标 主机 造成 破坏 前 将 
其 中 断 。 而 基于 主机 的 IDS 只 有 在 可 疑 的 登录 信息 被 记录 下 来 以 后 才能 识别 攻击 并 做 出 
反应 。 而 这 时 关键 系统 可 能 早 就 遭 到 了 破坏 ,或 是 运行 基于 主机 的 IDS 已 被 挫 毁 。 实 时 响 
应 是 可 根据 预定 义 的 参数 做 出 快速 反应 ,这 些 反应 包括 将 攻击 设 为 监视 模式 以 收集 信息 、 立 
即 中 止 攻 击 等 。 

(4) 检测 未 成 功 的 攻击 和 不 良 意图 一 一 基于 网 络 的 IDS 增加 了 许多 有 价值 的 数据 ,以 
判别 不 良 意图 。 即 便 防火 墙 可 以 正在 拒绝 这 些 尝试 ,位 于 防火 墙 之 外 的 基于 网 络 的 IDS 也 
可 以 查 出 躲 在 防火 墙 后 的 攻击 意图 。 基 于 主机 的 IDS 无 法 查 到 从 未 攻击 到 防火 墙 内 主机 
的 未 遂 攻 击 ,而 这 些 丢失 的 信息 对 于 评估 和 优化 安全 策略 是 至 关 重 要 的 。 


10.2.3 分 布 式 入侵 检 测 系统 


虽然 人 侵 检测 系统 减轻 了 网 络 安全 管理 人 员 的 压力 ,有 效 地 弥补 了 防火 墙 的 缺陷 ,但 传 
统 的 IDS 普遍 存在 一 些 有 待 克服 的 问题 。 

。 系统 的 弱点 或 漏洞 分 散在 网 络 中 各 个 主机 上 ,这 些 弱 点 有 可 能 被 人 侵 者 一 起 用 来 攻 
击 网 络 , 而 仅 依靠 HIDS 或 NIDS 不 能 发 现 更 多 的 人 侵 行 为 。 

。 现在 的 入侵 行为 表现 出 相互 协作 入 侵 的 特点 ,例如 分 布 式 拒绝 服务 攻击 (DDoS) 。 

。 入 侵 检测 所 需要 的 数据 来 源 分散 化 ,使 收集 原始 的 检测 数据 变 得 更 困难 ,如 交换 型 
网 络 使 得 监听 网 络 数据 包 受 到 限制 。 

。 由 于 网 络 传输 速度 加 快 ,网 络 流量 不 断 增 大 ,所 以 集中 处 理 原始 数据 的 方式 往往 造 
成 检测 的 实时 性 和 有 效 性 大 打折 扣 。 


为 了 解决 这 些 问题 , 便 产生 了 分 布 式 入 侵 检测 系统 (DIDS)。DIDS 综合 了 基于 主机 和 
基于 网 络 的 IDS 的 功能 。DIDS 的 分 布 性 表现 在 两 个 方面 : 首先 数据 包 过 滤 的 工作 由 分 布 
在 各 网 络 设备 (包括 联网 主机 ) 上 的 探测 代理 完成 ; 其 次 探测 代理 认为 可 疑 的 数据 包 将 根据 
其 类 型 交 给 专用 的 分 析 层 设备 处 理 。 各 探测 代理 不 仅 实 现 信息 过 滤 , 同 时 对 所 在 系统 进行 
监视 ; 而 分 析 层 和 管理 层 则 可 对 全 局 的 信息 进行 关联 性 分 析 。 这 样 对 网 络 信息 进行 分 流 ， 
既 可 以 提高 检测 速度 ,解决 检测 效率 低 的 问题 ,又 增强 了 DIDS 本 身 抗击 拒绝 服务 攻击 的 
能 力 。 

DIDS 由 主机 代理 (Host Agent)、 局 域 网 代理 (CLAN Agent) 和 控制 器 (DIDS Director) 
3 大 部 分 组 成 ,如 图 10.4 所 示 。 主 机 代理 负责 监测 某 台 主机 的 安全 ,依据 搜集 到 这 台 主 机 
活动 的 信息 产生 主机 安全 事件 ,并 将 这 些 安全 事件 传送 到 控制 器 。 同 样 ,局 域 网 代理 监测 局 
域 网 的 安全 ,依据 搜集 到 的 网 络 数据 包 信息 产生 局 域 网 安全 事件 ,也 把 这 些 局 域 网 安全 事件 
传 给 控制 器 。 控 制 器 根据 安全 专家 的 知识 .主机 安全 事件 和 网 络 安全 事件 进行 人 侵 检 测 推 
理 分 析 ,最 后 得 出 整个 网 络 的 安全 状态 结论 。 主 机 代理 并 不 是 安装 在 局 域 网 中 的 所 有 主机 
上 ,而 是 按照 特定 的 安全 需求 做 出 决定 。 控 制 器 还 提供 了 DIDS 与 安全 管理 人 员 的 用 户 
接口 。 
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DIDS 控 制 器 
主机 代理 LAN 代 理 
主机 事件 发 生 器 LAN 事 件 发 生 器 
| 主机 监视 器 LAN 监 视 器 | DIDS 


图 10.4 DIDS 结构 框图 


10.3 入侵 检测 系统 分 析 技 术 


根据 分 析 引 擎 所 采用 的 技术 ,可 以 将 入 侵 检 测 技术 分 为 异常 检测 (Anomaly Detection) 
技术 和 误 用 检测 (Misuse Detection) 技 术 两 大 类 。 异 常 检测 提取 正常 模式 审计 数据 的 数学 
特征 ,检查 事件 数据 中 是 否 存在 与 之 违背 的 异常 模式 。 误 用 检测 则 搜索 审计 事件 数据 ,查看 
其 中 是 否 存 在 预先 定义 的 误 用 模式 。 


10.3.1 异常 检测 技术 


异常 检测 是 目前 入 侵 检 测 系统 研究 的 重点 ,其 特点 是 通过 对 系统 异常 行为 的 检测 ,可 以 
发 现 未 知 的 攻击 模式 。 异 常 检测 的 关键 问题 在 于 正常 使 用 模式 (Normal Usage Profile) 的 
建立 以 及 如 何 利用 该 模式 对 当前 的 系统 /用 户 的 行为 进行 比较 ,从 而 判断 出 与 正常 模式 的 偏 
离 程度 。“ 模 式 (Profile)”" 通 常 由 一 组 系统 的 参量 (Metrics) 来 定义 。 所 谓 参 量 , 是 指 系统 / 
用 户 的 行为 在 特定 方面 的 衡量 标准 。 每 个 参量 都 对 应 于 一 个 门限 值 (Threshold) 或 对 应 于 
一 个 变化 区 间 。 就 像 我 们 可 以 用 “体温 ”这 个 参量 来 衡量 人 体 是 否 异 常 一 样 。 
异常 检测 基于 这 样 一 个 假设 : 无 论 是 程序 的 执行 还 是 用 户 的 行为 ,在 系统 特征 上 都 呈 
现 出 紧密 的 相关 性 。 例 如 , 某 些 特权 程序 总 是 访问 特定 目录 下 的 系统 文件 ,而 程序 员 则 经 常 
编辑 和 编译 C 语言 程序 ,其 正常 活动 与 一 个 打字 员 的 正常 活动 肯定 不 同 。 这 样 ,根据 各 自 
不 同 的 正常 活动 建立 起 来 的 模式 (Profile) 便 具有 用 户 特 性 。 入 侵 者 即使 使 用 正常 用 户 的 账 
号 ,其 行为 并 不 会 与 正常 用 户 的 行为 相 吻合 ,因而 仍 可 以 被 检测 出 来 。 但 事实 上 入 侵 活 动 集 
合并 不 等 于 异常 活动 集合 ,因此 异常 检测 可 能 造成 如 下 一 些 情况 。 
。 将 不 是 入 侵 的 异常 活动 标识 为 人 侵 ,我 们 称 之 为 伪 肯 定 (False Positives) ,会 造成 假 
报警 。 
。 将 入 侵 活 动 误 以 为 正常 活动 ,我 们 称 之 为 伪 否 定 (False Negatives) ,会 造成 漏 判 ,其 
严重 性 比 第 1 种 情况 高 得 多 。 


常用 的 异常 检测 方法 有 统计 异常 检测 .基于 神经 网 络 的 异常 检测 .基于 数据 挖掘 的 异常 
检测 等 。 

1) 统计 异常 检测 

统计 异常 检测 方法 根据 异常 检测 器 观察 主体 的 活动 ,利用 统计 分 析 技 术 基 于 历史 数据 
建立 模式 (Profile) ,这 些 用 在 模式 中 的 数据 仅 包 括 与 正常 活动 相关 的 数据 ,然后 模式 被 周期 
性 地 更 新 ,以 反映 系统 随时 间 的 变化 。 统 计 方 法 的 假定 是 模式 能 正确 地 反映 系统 的 正常 活 
动 上 且 数 据 是 纯净 的 。 模 式 反映 了 系统 的 长 期 的 统计 特征 ,如 果 训 练 数据 被 正确 选择 ,这些 特 
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征 则 被 认为 是 稳定 的 ,这 也 意味 着 不 需要 频繁 地 进行 模式 更 新 。 

设 Mi ,Mi,…,M 为 Profile 的 特征 参量 ,这 些 参量 可 以 是 CPU、1/O 和 邮件 的 使 用 、 文 
件 访问 数量 以 及 网 络 会 话 时 间 等 。 用 S;,S;,…，,S, 分 别 表 示 轮 廓 中 参量 Mi ,M;,…,M, 的 
异常 测量 值 。 这 些 值 表明 了 异常 程度 ,车 S; 的 值 越 高 , 则 表示 M; 的 异常 性 越 大 。 将 这 些 异 
常 测量 值 平方 后 加 权 计 算得 出 轮廓 异常 值 。 

aiSi 十 azS 十 … 十 asS2，aw 二 0 

这 里 a; 表示 轮廓 与 参量 M, 相关 的 权重 。 一 般 而 言 ,参量 Mi ,M: ,…',M, 不 是 相互 独立 的 ， 
需要 有 更 复杂 的 函数 处 理 其 相关 性 。 

如 果 Profile 的 异常 值 超过 了 一 定 的 门限 值 (Threshold) ,就 可 认为 是 发 现 了 异常 ,从 而 
进行 报警 。 

统计 异常 检测 方法 具有 一 定 的 优势 。 使 用 该 方法 可 以 揭示 某 些 我 们 感 兴趣 的 .可 疑 的 
活动 ,从 而 发 现 违背 安全 策略 的 行为 ; 另外 在 维护 上 比较 方便 ,不 像 误 用 检测 系统 那样 需要 
对 规则 库 不 断 地 更 新 和 维护 。 

统计 方法 也 存在 一 些 明显 的 缺陷 。 首 先 , 使 用 统计 方法 的 大 多 数 系统 是 以 批 处 理 的 方 
式 对 审计 记录 进行 分 析 的 , 它 不 能 提供 对 入 侵 行 为 的 实时 检测 和 自动 响应 的 功能 。 另 外 , 统 
计 方 法 的 特性 导致 了 它 不 能 反映 事件 在 时 间 顺 序 上 的 前 后 相关 性 ,因此 事件 发 生 的 顺序 通 
常 不 作为 分 析 引 擎 所 考察 的 系统 属性 。 然 而 ,许多 预示 着 和 人 侵 行为 的 系统 异常 都 依赖 于 事 
件 的 发 生 顺 序 , 在 这 种 情况 下 ,使 用 统计 方法 进行 异常 检测 就 有 了 很 大 的 局 限 性 。 最 后 ,如 
何 确定 合适 的 门限 值 也 是 统计 方法 所 面临 的 棘手 问题 。 门 限 值 如 果 选 择 的 不 恰当 ,就 会 导 
致 系统 出 现 大 量 的 错误 报警 。 

2) 基于 神经 网 络 的 异常 检测 

人 工 神经 网 络 (NN) 模 型 主要 是 模仿 生物 神经 系统 ,采用 自 适应 学 习 技 术 来 标记 异常 
行为 。 它 通过 接收 外 部 输入 的 刺激 ,不 断 获 得 并 积累 知识 ,进而 具有 一 定 的 判断 预测 能 力 。 
尽管 神经 网 络 模型 的 种 类 很 多 ,但 其 基本 模式 都 是 由 大 量 简单 的 计算 单元 (又 称 为 结 点 或 神 
经 元 ) 相 互 连 接 而 构成 的 一 种 并 行 分 布 处 理 网 络 。 基 于 神经 信息 传输 的 原理 , 结 点 之 间 以 一 
定 的 权 值 进行 连接 ,每 个 结 点 对 N 个 加 权 的 输入 求 和 , 当 求 和 值 超过 某 个 阅 值 时 , 结 点 为 
“兴奋 "状态 ,有 信号 输出 。 结 点 的 特征 由 其 阔 值 . 非 线 性 函数 的 类 型 所 决定 ,而 整个 神经 网 
络 则 由 网 络 拓扑 、 结 点 特征 以 及 对 其 进行 训练 所 使 用 的 规则 所 决定 。 

将 神经 网 络 用 于 异常 检测 ,其 方法 主要 是 通过 训练 神经 网 络 ,使 之 能 在 给 定 前 个 动作 
或 命令 的 前 提 下 预测 出 用 户 下 一 个 动作 或 命令 。 网 络 经 过 对 用 户 常 用 的 命令 集 进行 一 段 时 
间 的 训练 后 便 可 以 根据 已 存在 网 络 中 的 用 户 特征 文件 来 匹配 真实 的 动作 或 命令 。 

神经 网 络 有 多 种 模型 ,在 入 侵 检测 系统 中 ,一 般 采 用 前 向 神经 网 络 , 并 采用 逆向 传播 法 
(Back Propagation,BP) 对 检测 模型 进行 训练 。 基 于 神经 网 络 的 入 侵 检 测 模 型 如 图 10. 5 
所 示 。 a 

此 模型 有 一 个 输入 层 , 用 于 接受 二 进 制 输入 到 
信号 。 这 些 二 进 制 输入 信号 对 应 于 已 经 保存 在 
信息 库 中 的 相关 事件 。 神 经 网 络 的 输出 层 用 来 
指示 可 能 的 入 侵 。 它 根据 问题 相关 事件 的 数量 、 输入 层 隐 含 层 输出 层 
规则 数量 、 入 侵 行 为 的 数量 等 ,确定 模型 中 需要 ”图 10.5 基于 神经 网 络 的 入 侵 检 测 模型 
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多 少 个 隐 含 层 , 隐 含 层 神经 元 的 数目 则 取决 于 训练 用 的 样本 数 以 及 经 验 积累 。 神 经 网 络 的 
每 一 层 由 一 个 或 者 多 个 神经 元 组 成 ,前 一 层 的 输出 作为 后 一 层 的 输入 ,每 层 神经 元 与 其 下 一 
层 的 神经 元 相连 ,并 被 赋 以 合适 的 权 值 。 
神经 网 络 的 训练 有 两 个 过 程 : 前 向 过 程 和 反 向 过 程 。 前 向 过 程 是 指 对 于 给 定 的 输入 
和 目前 的 权 值 来 估计 神经 网 络 的 输出 值 。 在 反 向 过 程 中 ,将 求 得 的 神经 网 络 输出 值 与 期 
望 输 出 值 相 比较 ,并 将 比较 所 得 差 值 作为 误差 输出 反馈 到 神经 网 络 中 ,以 调整 神经 网 络 
的 权 值 。 
基于 神经 网 络 的 异常 检测 系统 的 优点 是 : 能 够 很 好 地 处 理 噪 音 数据 ,对 训练 数据 的 统 
计 分 布 不 做 任何 假定 , 且 不 用 考虑 如 何 选择 特征 参量 的 问题 ,很 容易 适应 新 的 用 户 群 。 
基于 神经 网 络 的 异常 检测 存在 如 下 问题 。 
。 如 果 命 令 窗口 ( 即 半 的 大 小 ) 过 小 将 造成 伪 肯 定 , 即 造成 假 报 警 。 反 之 ,如 果 命 令 窗 
口 过 大 则 造成 许多 不 相关 的 数据 ,同时 增加 伪 和 否定 的 机 会 , 即 造成 漏 判 。 
。 神经 网 络 拓扑 结构 只 有 经 过 相当 的 训练 后 才能 确定 下 来 ,不 合适 的 训练 数据 还 将 导 
致 建立 匪夷所思 的 .不 稳定 的 结构 。 
。 入 侵 者 可 能 在 网 络 学 习 阶 段 训练 该 网 络 。 


3) 基于 数据 挖掘 的 异常 检测 

基于 数据 挖掘 的 异常 检测 以 数据 为 中 心 ,把 入 侵 检 测 看 成 一 个 数据 分 析 过 程 ,利用 数据 
挖掘 的 方法 从 审计 数据 或 数据 流 中 提取 出 感 兴趣 的 知识 ,这 些 知识 是 隐 含 的 .事先 未 知 的 、 
潜在 有 价值 的 信息 ,提取 的 知识 表示 为 概念 规则、 规律 .模式 等 形式 ,并 用 这 些 知 识 去 检测 
异常 人 侵 和 已 知 的 入 侵 。 

数据 挖掘 从 存储 的 大 量 数据 中 识别 出 有 效 的 、 新 的 .具有 潜在 用 途 及 最 终 可 以 理解 的 知 
识 。 数 据 挖掘 算法 多 种 多 样 , 目 前 主要 有 以 下 几 种 。 

(1) 分 类 算法 , 它 将 一 个 数据 集合 映射 成 预先 定义 好 的 若干 类 别 。 这 类 算法 的 输出 结 
果 就 是 分 类 器 , 它 可 以 用 规则 集 或 决策 树 的 形式 表示 。 利 用 该 算法 进行 人 侵 检测 的 方法 是 
首先 收集 有 关 用 户 或 应 用 程序 的 “正常 ?和 * 非 正常 的 审计 数据 ,然后 应 用 分 类 算法 得 到 规 
则 集 ,并 使 用 这 些 规则 集 来 预测 新 的 审计 数据 是 属于 正常 行为 还 是 异常 行为 。 

(2) 关联 分 析 算 法 , 它 决定 数据 库 记 录 中 各 数据 项 之 间 的 关系 ,利用 审计 数据 中 各 数据 
项 之 间 的 关系 作为 构造 用 户 正常 使 用 模式 的 基础 。 

(3) 序列 分 析 算 法 , 它 获 取 数据 库 记 录 在 事件 窗口 中 的 关系 ,试图 发 现 审计 数据 中 的 一 
些 经 常 以 某 种 规律 出 现 的 事件 序列 模式 ,这 些 频繁 发 生 的 事件 序列 模式 有 助 于 在 构造 入 侵 
检测 模型 时 选择 有 效 的 统计 特征 。 

其 他 的 异常 检测 方法 还 包括 基于 贝 叶 斯 网 络 的 异常 检测 、 基 于 模式 预测 的 异常 检测 、 基 
于 机 器 学 习 的 异常 检测 等 。 


10.3.2 误 用 检测 技术 


误 用 检测 (Misuse Detection) 是 指 根据 已 知 的 入 侵 模 式 来 检测 入 侵 。 入 侵 者 常常 利用 
系统 和 应 用 软件 中 的 弱点 进行 攻击 , 误 用 检测 是 将 这 些 弱 点 构成 某 些 模式 ,如 果 入 侵 者 攻击 
方式 恰好 与 检测 系统 模式 库 中 的 模式 匹配 , 则 入 侵 者 将 被 检测 到 。 显 然 , 误 用 入 侵 检 测 依赖 
于 模式 库 , 如 果 没 有 构造 好 模式 库 ,IDS 就 不 能 检测 到 入 侵 者 。 误 用 检测 将 所 有 攻击 形式 化 
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存储 在 和 人 侵 模 式 库 中 。 

1) 基于 串 匹配 的 误 用 检测 

基于 串 匹 配 的 人 侵 检 测 系统 是 最 早 使 用 误 用 检测 技术 的 系统 。 入 侵 检 测 系统 Snort 采用 
的 技术 是 基于 串 匹 配 技术 的 误 用 检测 方法 。 基 于 串 匹 配 的 入 侵 检测 方法 具有 原理 简单 扩展 
性 好 ,检测 效率 高 .实时 性 好 等 优点 ,但 只 适用 于 比较 简单 的 攻击 方式 ,并 且 误 报警 率 较 高 。 

2) 基于 专家 系统 的 误 用 检测 

基于 专家 系统 的 误 用 检测 方法 利用 专家 系统 存储 已 有 的 知识 (攻击 模式 ), 通 常 是 以 让 then 
的 语法 形式 表示 的 一 组 规则 和 统计 量 , 计 部 分 表示 攻击 发 生 的 条 件 序列 , 当 这 些 条 件 满足 
时 ,系统 采取 then 部 分 所 指明 的 动作 。 然 后 输入 检测 数据 (审计 事件 记录 ), 系 统 根据 知识 
库 中 的 内 容 对 检测 数据 进行 评估 ,判断 是 否 存在 入 侵 行为 模式 。 

利用 专家 系统 进行 检测 的 优点 在 于 它 对 环境 表现 得 比较 健壮 ,而 且 把 系统 的 推理 控制 
过 程 和 问题 的 最 终 解答 相 分 离 , 即 用 户 不 需要 理解 或 干预 专家 系统 内 部 的 推理 过 程 。 

但 使 用 专家 系统 进行 人 侵 检 测 时 ,也 存在 以 下 一 些 问 题 。 

。 处 理 海量 数据 时 存在 效率 问题 。 

。 缺乏 处 理 序列 数据 的 能 力 , 即 缺 乏 分 析 数 据 前 后 的 相关 性 问题 的 能 力 。 

。 专家 系统 的 性 能 完全 取决 于 设计 者 的 知识 和 技能 , 且 规 则 必须 被 人 工 创建 。 

。 无 法 处 理 判断 的 不 确定 性 。 

。 规则 库 的 维护 同样 是 一 项 艰巨 的 任务 ,更改 规 则 时 必须 考虑 到 对 知识 库 中 其 他 规则 

的 影响 。 

3) 基于 状态 转换 分 析 的 误 用 检测 

基于 状态 转换 分 析 的 误 用 检测 工作 的 基础 是 状态 转换 图 (State Transition Diagrams) 
或 表 , 即 使 用 状态 转移 图 来 表示 和 检测 已 知 攻击 模式 。 状 态 转换 图 用 来 表示 一 个 事件 序列 ， 
状态 转移 图 中 的 结 点 (Node) 表 示 系 统 的 状态 , 弧 线 代表 每 一 次 状态 的 转变 。 该 方法 来 源 于 
一 个 事实 , 即 所 有 和 人 侵 者 都 是 从 某 一 受 限 的 特权 程序 开始 逐步 提升 自身 的 权限 来 探测 系统 
的 脆弱 性 ,以 获得 结果 。 

利用 状态 转换 图 检测 入 侵 的 过 程 如 下 : 在 任意 一 个 时 刻 , 当 一 定数 量 的 和 人 侵 模式 与 审 
计 日 志 部 分 匹配 时 ,一 些 特征 动作 已 经 使 得 检测 系统 到 达 各 自 状态 转换 图 中 的 某 些 状态 。 
如 果 某 一 状态 转换 图 到 达 了 终止 状态 , 则 表示 该 入 侵 模 式 已 经 成 功 匹配 。 否 则 ,当下 一 个 特 
征 动作 到 来 时 ,推理 引擎 能 把 当前 状态 转变 成 满足 断言 条 件 的 下 一 状态 。 如 果 当 前 状态 的 
断言 条 件 不 能 满足 , 则 状态 转换 图 会 从 当前 状态 转换 到 最 近 的 、 能 满足 断言 条 件 的 状态 。 

基于 状态 转换 分 析 的 入 侵 检测 方法 的 一 个 优势 是 状态 转移 图 提供 了 一 种 直观 的 、 高 级 
别 的 、 独 立 于 审计 数据 格式 的 入 侵 表 示 ,状态 转换 能 够 表达 包含 入 侵 模 式 特征 动作 的 部 分 顺 
序 ,而 且 它 采用 特征 动作 的 最 小 可 能 子 集 来 检测 入 侵 行 为 ,这 样 同 一 入 侵 的 多 个 不 同 变 种 也 
能 被 检测 出 来 。 

状态 转换 分 析 方 法 的 缺点 是 状态 声明 和 标签 都 是 人 工 编码 ,这 使 得 它 不 能 检测 到 标签 
库 以 外 的 攻击 。 

4) 基于 着 色 Petri 网 的 误 用 检测 

着 色 Petri 网 也 是 一 种 基于 状态 的 入 侵 检测 方法 ,利用 Petri 网 可 以 描述 各 种 复杂 的 网 
络 事件 。 在 采用 着 色 Petri 网 检测 方法 的 入 侵 检测 模型 中 ,每 个 人 侵 标签 被 表达 为 一 个 模 
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式 , 该 模式 表达 事件 和 它们 的 内 容 间 的 关系 。 关 系 模式 准确 地 表达 了 一 个 成 功 的 入 侵 和 和 
侵 者 的 企图 。 着 色 Petri 网 图 中 的 顶点 表示 系统 状态 。 整 个 特征 匹配 过 程 由 标记 (Token) 
的 动作 构成 ,标记 在 审计 记录 的 驱动 下 ,从 初始 状态 向 最 终 状 态 ( 标 识 入 侵 发 生 的 状态 ) 逐 步 
前 进 。 处 于 不 同 状 态 时 ,标记 的 颜色 用 来 代表 事件 所 处 的 系统 环境 (Context)。 当 标记 出 现 
某 种 特定 的 颜色 时 ,预示 着 目前 的 系统 环境 满足 了 特征 匹配 的 条 件 , 此 时 就 可 以 采取 相应 的 
响应 动作 。 

基于 着 色 Petri 网 的 入 侵 检测 方法 的 主要 优点 是 模式 独立 于 任何 基础 匹配 的 计算 框 
架 , 并 提供 一 个 模型 ,其 中 分 类 中 的 所 有 策略 都 被 表达 和 匹配 , 它 可 被 快速 和 方便 地 设计 , 事 
件 序列 可 被 直接 表达 。 

基于 着 色 Petri 网 的 入 侵 检测 系统 的 缺陷 是 尽管 在 定义 入侵 特征 时 可 以 尽 可 能 地 通用 
化 ,但 系统 对 于 检测 未 知 的 攻击 仍然 无 能 为 力 。 

当前 研究 中 还 有 一 些 其 他 检测 技术 ,比如 基于 生物 免疫 的 入 侵 检 测 、 遗 传 算法 、 基 于 代 
理 的 入 侵 检测 , 隐 马 尔 可 夫 模 型 等 。 

综 上 所 述 ,在 Internet 应 用 日 益 普及 ,访问 手段 多 样 化 的 今天 ,各 种 攻击 手段 层出不穷 ， 
入 侵 检 测 系统 作为 一 种 安全 防范 措施 ,是 防火 墙 的 合理 补充 , 它 帮 助 系统 对 付 网 络 攻击 , 扩 
展 了 系统 管理 员 的 安全 管理 能 力 (包括 安全 审计 、 监 视 、 进 攻 识别 和 响应 ) ,提高 了 信息 安全 
基础 结构 的 完整 性 。 采 用 入 侵 检测 系统 是 预警 监控、 处置 网 络 攻击 的 有 效 方 法 。 


10.4 入侵 防御 系统 


和 信 侵 防御 系统 (Intrusion Prevention System,IPS) 是 一 种 能 够 检测 已 知 和 未 知 攻击 并 
且 成 功 阻止 攻击 的 软 硬 件 系 统 , 是 网 络 安全 领域 为 弥补 防火 墙 及 人 侵 检测 系统 (IDS) 的 不 
足 而 新 发 展 起 来 的 一 种 计算 机 信息 安全 技术 。 

IPS 与 IDS 最 主要 的 不 同 就 是 IPS 能 够 提供 主动 性 的 防御 ,在 遇 到 攻击 时 能 够 检测 并 
尝试 阻止 人 侵 , 而 IDS 仅仅 是 检测 到 攻击 。 


10.4.1 入 侵 防 御 系 统 的 基本 概念 


1. 入侵 防御 系统 的 产生 

防火 墙 和 入 侵 检 测 系统 在 网 络 安全 防护 方面 起 着 重要 的 作用 ,但 在 实际 应 用 中 ,它们 都 
存在 着 一 些 缺陷 。 

防火 墙 的 作用 是 检测 流 经 它 的 所 有 网 络 数据 流 , 阻 止 不 符合 安全 策略 的 数据 流通 过 ,但 
却 不 能 阻止 人 侵 行 为 。 传 统 防 火 墙 能 检测 网 络 层 和 传输 层 的 数据 ,不 能 检测 应 用 层 的 内 容 ， 
且 多 采用 数据 包 过 滤 检 测 技术 ,不 会 针对 每 一 个 字 节 进行 细致 检查 ,因此 会 漏 掉 一 些 攻击 行 
为 。 另 外 ,一 般 防火 墙 被 串 行 部 署 在 网 络 进出 口 处 ,检查 进出 的 所 有 数据 流 ,但 对 于 网 络 流 
量 较 大 的 网 络 而 言 ,巨大 的 处 理 需求 往往 使 得 防火 墙 成 为 网 络 的 堵塞 点 。 

入 侵 检测 系统 的 作用 是 通过 监视 网 络 和 系统 中 的 数据 流 , 检 测 是 否 存在 违反 安全 策略 
的 行为 或 企图 ,车 有 则 发 出 警报 通知 管理 员 采 取 措 施 。IDS 一 般 作为 防火 墙 的 合理 补充 ,经 
常 被 旁 路 并 联 在 网 络 内 部 ,以 及 时 发 现 穿 透 防火 墙 的 深层 攻击 行为 。 但 IDS 最 大 的 缺陷 在 
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于 误 报 与 漏 报 现象 严重 ,用 户 往 往 被 淹没 在 海量 的 报警 信息 中 ,而 会 漏 掉 真 正 的 报警 。 另 
外 ,作为 旁 路 并 联 在 网 络 上 的 IDS 设备 ,无 法 对 通过 防火 墙 的 深层 攻击 进行 实时 阻 断 。 

在 用 户 对 网 络 安全 日 益 增 长 的 需求 下 ,将 IDS 的 深层 分 析 能 力 和 防火 墙 的 在 线 部 署 功 
能 结合 起 来 ,形成 一 个 新 的 安全 产品 的 想法 被 提出 来 ,这 就 是 IPS 的 起 源 。 

2000 年 ,NetWork ICE 公司 首次 提出 了 IPS 这 个 概念 ,此 后 推出 了 BlackICE Guard。 
它 与 传统 IDS 最 大 的 区 别 是 串 行 部 署 ,并 能 够 直接 分 析 网 络 数据 并 实时 对 恶意 数据 进行 丢 
弃 处 理 。 从 2006 年 起 ,大 量 的 国外 安全 厂商 纷纷 推出 相应 的 IPS 产品 ,IPS 开始 逐渐 被 人 
们 关注 。 

2. IPS 与 IDS 的 区 别 

IPS 在 一 定 程度 上 像 一 个 IDS 和 防火 墙 的 混合 体 , 或 者 可 以 与 已 有 的 防火 墙 一 起 发 挥 
作用 。IPS 与 IDS 都 基于 检测 技术 ,两 者 之 间 的 区 别 主要 在 以 下 几 点 。 

(1) IDS 的 目的 是 提供 监视 、 审 计 、 取 证 和 对 网 络 活动 的 报告 ,而 IPS 的 目的 是 为 资产 、 
资源 .数据 和 网 络 提供 保护 。IPS 则 能 够 提供 主动 性 的 防御 ,在 遇 到 攻击 时 能 够 检测 并 尝试 
阻止 人 侵 , 而 IDS 仅仅 是 检测 到 攻击 。 

(2) IPS 串联 在 网 络 上 ,利用 了 OSI 参考 模型 的 所 有 7 层 信 息 ,对 攻击 进行 过 滤 ,提供 
了 一 种 主动 的 .积极 的 入 侵 防范 。 而 IDS 只 是 旁 路 并 联 安装 ,用 于 检测 人 侵 行 为 。 

(3) IDS 使 用 非 确定 性 的 方法 从 当前 和 历史 的 通信 流 中 查找 威胁 或 者 潜在 的 威胁 , 包 
括 执行 通信 流 、 通 信和 模式 和 异常 活动 的 统计 分 析 。IPS 必须 是 确定 性 的 , 它 所 执行 的 所 有 丢 
弃 通信 和 包 的 行为 必须 是 正确 的 。IPS 被 认为 是 一 直 在 网 络 上 处 于 工作 状态 ,执行 访问 控制 
的 决定 。 

此 外 ,IPS 与 传统 的 IDS 还 有 两 点 关键 区 别 : 自动 阻截 和 在 线 运行 ,两 者 缺 一 不 可 。 防 
护 工具 必须 设置 相关 策略 ,以 对 攻击 自动 做 出 响应 ,而 不 仅仅 是 在 恶意 通信 进入 时 向 网 络 主 
管 发 出 告警 。 要 实现 自动 响应 ,系统 就 必须 在 线 运行 。 当 黑客 试图 与 目标 服务 器 建立 会 话 
时 ,所 有 数据 都 会 经 过 IPS 传感器 ,传感器 位 于 活动 数据 路 径 中 。 传 感 器 检测 数据 流 中 的 恶 
意 代码 ,核对 策略 ,在 未 转发 到 服务 器 之 前 将 信息 包 或 数据 流 阻 截 。 由 于 是 在 线 操作 ,因而 
能 保证 处 理 方法 适当 而 且 可 预知 。 


10.4.2 入 侵 防 御 系 统 的 分 类 


IPS 系统 根据 部 署 方式 可 分 为 3 类 : 基于 主机 的 入 侵 防御 系统 (Host-based Intrusion 
Prevention System, HIPS) .基于 网 络 的 入侵 防御 系统 (Network-based Intrusion Prevention 
System,NIPS) 和 应 用 入 侵 防御 系统 (Application Intrusion Prevention System,AIPS) 。 

1) 基于 主机 的 入 侵 防御 系统 (HIPS) 

HIPS 通过 在 主机 /服务 器 上 安装 软件 代理 程序 ,防止 网 络 攻 击 入 侵 操 作 系 统 以 及 应 用 
程序 。HIPS 能 够 保护 服务 器 的 安全 弱点 不 被 不 法 分 子 所 利用 ,在 防范 蠕虫 病毒 的 攻击 中 
起 到 了 很 好 的 防御 作用 。HIPS 可 以 根据 自 定义 的 安全 策略 以 及 分 析 学 习 机 制 来 阻 断 对 服 
务 器 /主机 发 起 的 恶意 人 侵 。HIPS 可 以 阻 断 缓冲 区 滋 出 改变 登录 密码 ,改写 动态 链接 库 以 
及 其 他 试图 从 操作 系统 夺取 控制 权 的 入 侵 行 为 ,可 整体 提升 主机 的 安全 水 平 。 

2) 基于 网 络 的 入 侵 防 御 系统 (NIPS) 

NIPS 通过 检测 流 经 的 网 络 流量 ,提供 对 网 络 系统 的 安全 保护 ,由 于 它 采 用 在 线 连 接 方 
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式 ,所 以 一 旦 辨识 出 入 侵 行 为 , NIPS 就 可 以 去 除 整 个 网 络 会 话 , 而 不 仅仅 是 复位 会 话 。 同 
样 由 于 实时 在 线 ,NIPS 需要 具备 很 高 的 性 能 ,以 免 成 为 网 络 的 瓶颈 ,因此 NIPS 通常 被 设计 
成 类 似 于 交换 机 的 网 络 设备 ,提供 线 速 知 吐 速率 以 及 多 个 网 络 端 口 。NIPS 必须 基于 特定 
的 硬件 平台 ,才能 实现 千 兆 级 网 络 流量 的 深度 数据 包 检测 和 阻 断 功 能 。 这 种 特定 的 硬件 平 
台 通 常 可 以 分 为 3 类: (1) 网 络 处 理 器 (网 络 芯片 ); (2) 专 用 的 FPGA 编程 芯片 ; (3) 专 用 的 
ASIC 芯片 。 

3) 应 用 入 侵 防御 系统 (AIPS) 

AIPS 是 NIPS 的 一 个 特例 , 它 把 基于 主机 的 人 侵 防 御 扩展 成 为 位 于 应 用 服务 器 之 前 的 
网 络 设备 。AIPS 被 设计 成 一 种 高 性 能 的 设备 ,配置 在 应 用 数据 的 网 络 链 路 上 ,以 确保 用 户 
遵守 设 定好 的 安全 策略 ,保护 服务 器 的 安全 。 


10.4.3 入侵 防御 系统 的 原理 


IPS 与 IDS 在 检测 方面 的 原理 相同 。 它 首先 由 信息 采集 模块 实施 信息 收集 ,内 容 包 括 
系统 、 网 络 .数据 及 用 户 活动 的 状态 和 行为 ; 然后 利用 模式 匹配 .协议 分 析 、 统 计 分 析 、 完 整 
性 分 析 等 技术 手段 ,由 信号 分 析 模 块 对 收集 到 的 有 关系 统 、 网 络 ,数据 及 用 户 活动 的 状态 \ 行 
为 等 信息 进行 分 析 ; 最 后 由 反应 模块 对 分 析 结 果 做 出 相应 的 反应 。 

IPS 提供 主动 防御 ,预先 对 入 侵 活动 和 攻击 性 网 络 流量 进行 拦截 ,避免 其 造成 损失 ,而 
不 仅仅 是 在 恶意 通信 进入 时 向 网 络 主管 发 出 告警 。IPS 是 通过 直接 嵌入 到 网 络 流量 中 实现 
这 一 功能 的 , 即 通过 一 个 网 络 端口 接收 来 自 外 部 系统 的 流量 ,数据 流 经 过 IPS 处 理 引擎 进行 
大 规模 并 行 深层 检测 ,检查 确认 其 中 不 包含 异常 活动 或 可 疑 内 容 后 ,再 通过 另外 一 个 端口 将 
它 传 送 到 内 部 系统 中 。 

IPS 的 主要 工作 依靠 IPS 引擎 完成 , IPS 数据 包 处 理 引擎 是 专业 化 定制 的 集成 电路 ,里 
面包 含 许多 种 类 的 过 滤器 ,每 种 过 滤器 采用 并 行 处 理 检测 和 协议 重组 分 析 的 工作 方式 ,分 析 
相对 类 型 的 数据 包 ,深层 检查 数据 包 的 内 容 。 其 工作 原理 如 图 10. 6 所 示 。 

IPSs 引 擎 


一 | | 数据 流 


数据 流 一 


过 滤器 3 


4 


图 10.6 IPS 工作 原理 


当 数 据 流 进入 IPS 引擎 之 后 ,第 1 步 ,首先 对 每 个 数据 包 进 行 逐一 字 节 地 检查 ,异常 的 
数据 包 将 被 丢弃 ,通过 检查 的 数据 包 依据 报头 信息 ,如 源 IP 地 址 、 目 的 IP 地 址 、 端 口号 、 应 
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用 域 等 进行 分 类 ,并 记录 数据 流 的 状态 信息 。 第 2 步 ,根据 数据 包 的 分 类 ,相关 的 过 滤器 进 
行 第 选 , 若 任何 数据 包 符合 匹配 条 件 , 则 标志 为 命中 。 第 3 步 ,标志 为 “命中 ”的 数据 包 会 被 
丢弃 ,检测 安全 的 数据 包 可 以 继续 前 进 。 第 4 步 ,命中 数据 包 被 丢弃 时 ,与 之 相关 的 流 状态 
信息 也 会 被 更 新 ,指示 IPS 丢弃 该 流 中 其 余 的 所 有 内 容 。 

经 过 上 述 几 个 步骤 ,有 问题 的 数据 包 以 及 所 有 来 自 同一 数据 流 的 后 续 数 据 包 都 能 在 
IPS 设备 中 被 清除 掉 。IPS 能 够 实时 检查 和 阻止 入 侵 的 关键 在 于 IPS 引擎 拥有 数目 众多 的 
过 滤器 ,针对 不 同 的 攻击 行为 I PS 有 不 同 的 过 滤器 用 于 处 理 。 每 种 过 滤器 都 设 有 相应 的 过 
滤 规 则 ,为 了 确保 准确 性 ,这 些 规则 的 定义 非常 广泛 。 在 对 传输 内 容 进 行 分 类 时 ,过 滤 引 擎 
还 需要 参照 数据 包 的 信息 参数 ,并 将 其 解析 至 一 个 有 意义 的 域 中 进行 上 下 文 分 析 , 以 提高 过 
滤 的 准确 性 。 当 新 的 攻击 手段 被 发 现 之 后 ,IPS 就 会 创建 一 个 新 的 过 滤器 。 如 果 有 攻击 者 
利用 计算 机 网 络 的 数据 链 路 层 至 应 用 层 的 漏洞 发 起 攻击 ,IPS 都 能 够 从 数据 流 中 检查 出 这 
些 攻击 并 加 以 阻止 。 


10.4.4 ”入侵 防御 系统 的 技术 特征 


IPS 的 主要 技术 特征 可 以 归纳 为 如 下 几 点 。 

(1) 嵌入 式 在 线 运行 模式 。IPS 若 要 采用 在 线 运 行 方式 检测 数据 包 ,对 可 疑 的 数据 包 
依据 安全 策略 进行 实时 阻拦 ,只 有 采用 嵌入 式 模式 运行 的 IPS 设备 才能 实现 ,根据 需要 可 将 
其 嵌入 到 服务 器 ,关键 主机 、 路 由 器 \ 以 太 网 交换 机 上 。 

(2) 深入 分 析 和 控制 IPS。 为 达到 主动 防御 的 目的 ,IPS 必须 具备 完善 的 安全 策略 , 具 
备 深入 分 析 能 力 ,根据 攻击 类 型 以 确定 哪些 恶意 流量 已 经 被 拦截 ,以 及 给 出 相应 的 响应 
要 求 。 

(3) 高 质量 的 人 侵 特征 库 。 信 息 系统 综合 威胁 不 断 发 展 扩大 ,需要 多 层 ,深度 的 防护 才 
能 有 效 ,为 达到 高 效 检测 的 目的 ,IPS 必须 建立 丰富 且 尽 量 完备 的 人 侵 特征 库 。IPS 还 应 该 
定期 升级 入 侵 特征 库 , 并 快速 应 用 到 所 有 传感器 。 

(4) 高 效 处 理 数 据 包 的 能 力 。IPS 必须 具有 高 效 处 理 数据 包 的 能 力 , 对 整个 网 络 性 能 
的 影响 保持 在 最 低 水 平 。 

(5) 强大 的 响应 功能 。IPS 强大 的 响应 功能 是 它 区 别 于 IDS 的 最 显著 的 特点 ,也 是 其 
进行 主动 防御 的 保障 。 它 的 响应 是 主动 性 的 响应 ,IPS 根据 检测 结果 阻 断 入 侵 或 延 时 入 
侵 过 程 以 降低 损失 。 此 外 ,IPS 还 可 以 根据 策略 配置 ,分 别 采用 实时 、 近 期 和 长 期 的 响应 
行为 。 

10.4.5 入 侵 防 御 系 统 的 发 展 


IPS 技术 需要 面 对 很 多 挑战 ,其 中 主要 有 3 个 挑战 : (1) 单 点 故障 ; (2) 性 能 瓶颈 ; 
(3) 误 报 和 漏 报 。 今 后 的 发 展 方向 大 致 有 以 下 几 个 方面 。 

1) 标准 化 与 智能 化 

虽然 IPS 的 市 场 在 不 断 增 强 ,但 就 目前 而 言 ,IPS 还 缺乏 相应 的 标准 ,而 且 兼 容 性 不 强 ， 
不 同 IPS 之 间 的 数据 交换 和 信息 通信 几乎 不 可 能 。 因 此 ,具有 标准 化 接口 的 IPS 将 是 未 来 
IPS 的 特征 ; 另外 , 随 着 网 络 人 侵 方法 的 多 样 化 和 综合 化 ,需要 对 智能 化 的 IPS 进行 深入 研 
究 , 以 解决 其 自学 习 和 自 适应 能 力 。 
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2) 自身 发 展 与 完善 

对 于 HIPS 来 说 ,应 该 与 操作 系统 提供 商 通力 合作 ,打通 受 操作 系统 限制 的 瓶颈 ,加 强 
兼容 性 和 稳定 性 ,同时 增强 对 应 用 的 支持 ,是 当前 HIPS 的 发 展 之 道 。 而 基于 网 络 的 IPS 则 
要 面 对 更 多 的 挑战 ,避免 错误 阻 断 、 实 现 快速 网 络 支 持 ,减少 网 络 带宽 占用 、 降 低 处 理 包 的 延 
迟 等 问题 是 基于 网 络 的 IPS 发 展 的 关键 。 

3) 与 防火 墙 .IDS 等 网 络 安全 技术 相 结合 

当前 存在 两 种 误区 ,一 种 观点 认为 IPS 是 IDS 的 更 高 版 本 ,IPS 将 蔡 代 IDS。 然 而 从 
现实 状况 和 发 展 形势 来 看 ,IDS 与 IPS 的 优势 互补 ,如 果 基 于 网 络 的 IDS 与 基于 主机 的 
IPS 产 品 能 结合 使 用 , 则 更 能 有 效 地 防护 网 络 人 侵 ; 另 一 种 观点 则 认为 有 了 IPS 就 不 必 使 
用 防火 墙 了 。 其 实 IPS 并 不 能 成 为 防火 墙 的 替代 者 ,至少 在 当前 的 情况 下 ,IPS 与 防火 墙 
的 互补 作用 还 十 分 明显 ,防火 墙 是 粒度 比较 粗 的 访问 控制 产品 ,负责 提供 2 一 4 层 的 基本 
安全 环境 和 高 速 转发 能 力 ,而 IPS 主要 负责 4 一 7 层 流 量 的 小 粒度 控制 。 有 时 , 当 多 种 应 
用 和 设备 试图 提供 功能 全 面 地 保护 而 一 起 出 现时 ,防火 墙 .IDS 和 IPS, 这 三 者 之 间 的 关系 
是 模糊 不 清 的 。 

在 未 来 ,IPS 可 以 采用 一 些 更 为 先进 的 技术 来 提高 系统 的 性 能 。 如 采用 并 行 处 理 检 测 
技术 来 提高 检测 速度 ,采用 协议 重组 分 析 和 事件 关联 分 析 技 术 来 进一步 加 大 检测 的 深度 , 采 
用 机 器 学 习 技 术 来 提高 自 适应 能 力 等 。 还 要 进一步 提高 IPS 的 响应 性 能 。 数 据 挖掘 技术 可 
进一步 提高 网 络 数据 的 应 用 价值 ,使 IPS 具备 更 高 的 智能 性 。IPS 是 网 络 安全 领域 的 一 个 
新 的 卫士 , 它 将 极 大 地 增强 网 络 安全 领域 的 实力 ,为 Internet 提供 更 高 层次 的 安全 保障 。 


10.5 关键 术语 


入 侵 检 测 (Intrusion Detection) 

基于 主机 的 人 侵 检 测 系统 (HIDS) 

基于 网 络 的 人 侵 检测 系统 (NIDS) 

分 布 式 人 侵 检测 系统 (DIDS) 

异常 检测 (Anomaly Detection) 

误 用 检测 (Misuse Detection) 

入 侵 防 御 系 统 (Intrusion Prevention System,IPS) 

基于 主机 的 入 侵 防御 系统 (Host-based Intrusion Prevention System ,HIPS) 
基于 网 络 的 入 侵 防 御 系 统 (Network-based Intrusion Prevention System,NIPS) 
应 用 入 侵 防御 系统 (Application Intrusion Prevention System,AIPS) 


10.6 习 题 10 


10.1 什么 叫 入 侵 检 测 ? 
10.2 一 个 人 侵 检测 系统 (IDS) 通 常 由 哪 几 个 部 分 组 成 ? 
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10. 3 
10. 4 
10. 5 
10.6 
M0,.7 


根据 数据 源 的 不 同 ,入 侵 检 测 系统 可 分 为 哪 几 类 ? 各 自 有 什么 特点 ? 
比较 异常 检测 和 误 用 检测 方法 的 异同 。 

基于 数据 挖掘 的 异常 检测 方法 的 思路 是 什么 ? 

简 述 入 侵 检 测 系统 与 人 侵 防御 系统 的 异同 。 

简 述 入 侵 防 御 系 统 的 工作 原理 。 


第 11 音 恶意 代码 


本 章 导读 

> 本 章 主 要 介绍 恶意 代码 的 概念 和 类 型 .计算 机 病毒 特征 和 原理 ,蠕虫 病毒 工作 原理 
和 典型 蠕虫 病毒 的 介绍 、 木 马 病毒 工作 原理 和 种 类 ,以 及 恶意 代码 的 防治 对 策 。 

> 恶意 代码 是 一 种 计算 机 程序 , 按 传播 方式 ,恶意 代码 大 致 分 成 计算 机 病毒 蠕虫 \ 木 
马 等 。 

> 计算 机 病毒 是 指 在 计算 机 程序 中 插入 的 破坏 计算 机 功能 或 者 破坏 数据 .影响 计算 机 
使 用 并 且 能 够 自我 复制 的 一 组 计算 机 指令 或 程序 代码 。 

> 蠕虫 病毒 是 自 包含 的 程序 (或 是 一 套 程 序 ) , 它 通常 是 经 过 某 种 网 络 连接 将 自身 从 一 
台 计 算 机 分 发 到 其 他 计算 机 系统 中 。 

> 特洛伊 木马 是 一 种 伪装 成 正常 程序 的 恶意 代码 。 木 马 程序 表面 上 看 是 有 用 的 或 无 
害 的 ,但 却 包含 了 为 完成 特殊 任务 而 编写 的 代码 。 

> 计算 机 病毒 的 防治 技术 大 致 可 以 分 为 3 类 : 预防 病毒 类 ,检测 病毒 类 和 清除 病毒 类 。 


恶意 代码 (Malicious Code) 是 一 种 计算 机 程序 , 它 通过 把 代码 在 不 被 察觉 的 情况 下 散人 
到 另 一 段 程序 中 ,从 而 达到 运行 具有 和 人 侵 性 或 破坏 性 的 程序 ,或 破坏 被 感染 计算 机 数据 的 安 
全 性 和 完整 性 的 目的 。 按 传播 方式 ,恶意 代码 大 致 分 成 计算 机 病毒 .蠕虫 . 特 洛 伊 木马 、 移 动 
代码 .复合 型 病毒 等 。 本 章 主要 介绍 计算 机 病毒 .蠕虫 和 特洛伊 木马 的 原理 及 防治 对 策 。 


11.1 计算 机 病毒 


计算 机 病毒 是 指 在 计算 机 程序 中 插入 的 破坏 计算 机 功能 或 者 破坏 数据 、 影 响 计 算 机 使 
用 并 且 能 够 自我 复制 的 一 组 计算 机 指令 或 程序 代码 。 与 医学 上 的 “病毒 "不 同 , 计 算 机 病毒 
不 是 天 然 存在 的 ,是 某 些 人 利用 计算 机 软件 和 硬件 所 固有 的 脆弱 性 编制 的 一 组 指令 集 或 程 
序 代码 。 它 能 通过 某 种 途径 潜伏 在 计算 机 的 存储 介质 (或 程序 ) 里 , 当 达 到 某 种 条 件 时 即 被 
激活 ,通过 修改 其 他 程序 的 方法 将 自己 的 精确 副本 或 者 可 能 演化 的 形式 放 入 其 他 程序 中 ,从 
而 感染 其 他 程序 ,对 计算 机 资源 进行 破坏 ,所 谓 的 病毒 是 人 为 创建 的 ,对 其 他 用 户 的 危害 性 
很 大 。 


11.1.1 计算 机 病毒 的 起 源 与 发 展 


计算 机 病毒 并 非 是 最 近 才 出 现 的 新 产物 ,事实 上 计算 机 之 父 约 翰 。 冯 。 诺 依 曼 (Joho 
Von Neumann) 在 1949 年 通过 (复杂 自动 机 组 织 论 ) 就 提出 了 计算 机 病毒 的 基本 概念 :“ 一 
部 事实 上 足够 复杂 的 机 器 能 够 复制 自身 ”计算 机 病毒 发 展 史 也 从 此 揭 开 了 序幕 。 

1983 年 11 月 3 日 美国 计算 机 专家 弗 莱 德 .科恩 (Fred Cohen) 在 美国 国家 计算 机 安全 
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会 议 上 ,演示 了 他 研制 的 一 种 在 运行 过 程 中 可 以 复制 自身 的 破坏 性 程序 。 沦 。 艾 德 勒 曼 
(Len Adlemn) 将 它 命名 为 计算 机 病毒 ,并 在 每 周 召 开 一 次 的 计算 机 安全 讨论 会 上 正式 提出 
来 ,8 小 时 后 专家 们 在 VAXII/750 计算 机 系统 上 运行 该 病毒 ,第 1 个 病毒 实验 成 功 。 一 周 
后 获准 进行 实验 演示 ,从 而 在 实验 上 证 实 了 计算 机 病毒 的 存在 ,这 就 是 世界 上 第 1 例 被 证 实 
的 计算 机 病毒 。 

1986 年 初 ,在 巴基斯坦 的 拉 合 尔 (Lahore), 巴 锡 特 (Basit) 和 阿 姆 杰 德 (Amjad) 两 兄弟 
经 营 着 一 家 IBM 的 PC 及 其 兼容 机 的 小 商店 。 他 们 为 了 打击 盗版 软件 的 使 用 者 编写 了 
Pakistan 病毒 , 即 BRAIN。 在 一 年 内 流传 到 世界 各 地 。 

1988 年 3 月 2 日 ,一 种 针对 Macintosh 的 病毒 发 作 ,这 天 感染 的 Macintosh 都 停止 了 工 
作 , 只 显示 “向 所 有 Macintosh 的 使 用 者 宣布 和 平 的 信息 ”以 庆祝 Macintosh 的 生日 。 

1988 年 底 ,我 国 国家 统计 系统 发 现 * 小 球 ? 病 毒 。 随 后 ,中 国有 色 金 属 总 公司 所 属 昆 明 、 
天 津 \ 成 都 等 地 的 一 些 单位 ,全 国 一 些 科 研 部 门 和 国家 机 关 也 相继 发 现 病毒 入侵 。 自 从 “中 
国 炸 弹 ” 病 毒 出 现 后 ,我们 发 现 了 越 来 越 多 的 国产 病毒 。 

在 病毒 的 发 展 史 上 ,病毒 的 出 现 是 有 规律 的 。 一 般 情况 下 一 种 新 的 病毒 技术 出 现 后 , 病 
毒 迅 速 发 展 ,接着 反 病 毒 技术 的 发 展会 抑制 其 流传 。 操 作 系统 升级 后 ,病毒 也 会 调整 为 新 的 
攻击 方式 ,产生 新 的 病毒 技术 。 病 毒 的 阶段 性 划分 为 : 原始 病毒 阶段 .混合 型 病毒 阶段 .多 
态 性 病毒 阶段 ,网 络 病毒 阶段 。 


11.1.2 计算 机 病毒 的 特征 


计算 机 病毒 是 一 自 具 有 自我 复制 能 力 并 通过 向 其 他 可 执行 程序 注入 副本 来 实现 传播 的 
计算 机 程序 代码 。 根 据 分 析 它 的 产生 ,传播 和 破坏 行为 ,计算 机 病毒 有 以 下 几 个 主要 特征 。 

1. 传染 性 

计算 机 病毒 具有 传染 性 ,一 旦 病毒 被 复制 或 产生 变种 ,其 发 展 速度 之 快 令 人 难以 预防 。 
传染 性 是 病毒 的 基本 特征 。 计 算 机 病毒 也 会 通过 各 种 渠道 从 已 被 感染 的 计算 机 扩散 到 未 被 
感染 的 计算 机 ,在 某 些 情况 下 造成 被 感染 的 计算 机 工作 失常 甚至 瘫痪 。 是 否 具有 传染 性 是 
判别 一 个 程序 是 否 为 计算 机 病毒 的 最 重要 条 件 。 

2. 潜伏 性 

病毒 进入 系统 之 后 一 般 不 会 马上 发 作 ,可 以 在 几 周 或 者 几 个 月 甚至 几 年 内 隐藏 在 合法 
程序 中 ,默默 进行 传染 扩散 而 不 被 人 发 现 。 潜 伏 性 越 好 ,在 系统 中 的 存在 时 间 就 会 越 长 , 传 
染 范 围 也 就 越 大 。 洪 伏 性 的 另外 一 个 表现 是 ,计算 机 病毒 的 内 部 往往 有 一 种 触发 机 制 ,不 满 
足 触发 条 件 时 ,计算 机 病毒 除了 传染 外 不 做 什么 破坏 。 一 旦 触发 条 件 得 到 满足 ,有 的 病毒 在 
屏幕 上 显示 信息 、 图 形 或 特殊 标识 ,有 的 病毒 则 执行 破坏 系统 的 操作 ,如 格式 化 磁盘 .删除 磁 
盘 文 件 、 对 数据 文件 做 加 密 、 封 锁 键盘 、 使 系统 锁 死 等 。 

3. 隐蔽 性 

计算 机 病毒 一 般 是 采用 很 高 编程 技巧 编写 的 、 短 小 精 悍 的 一 段 代 码 ,它们 躲 在 合法 程序 
当中 ,具有 很 强 的 隐蔽 性 .有 的 可 以 通过 防 病毒 软件 检查 出 来 ,有 的 则 根本 就 查 不 出 来 。 在 
没有 防护 措施 的 情况 下 ,病毒 程序 取得 系统 控制 权 后 ,可 以 在 很 短 的 时 间 里 传染 大 量 其 他 程 
序 ,而 且 计 算 机 系统 通常 仍 能 正常 运行 ,用 户 不 会 感到 任何 异常 ,好 像 在 计算 机 内 不 曾 发 生 


第 11 章 恶意 代码 265 


过 什么 。 这 是 病毒 传染 的 隐蔽 性 。 

4. 多 态 性 

计算 机 病毒 试图 在 每 一 次 感染 时 改变 它 的 形态 ,使 对 它 的 检测 变 得 更 困难 。 一 个 多 态 
病毒 还 是 原来 的 病毒 ,但 不 能 通过 扫描 特征 字符 串 来 发 现 。 病 毒 代 码 的 主要 部 分 相同 ,但 表 
达 方式 发 生 了 变化 ,也 就 是 同一 程序 由 不 同 的 字 节 序列 表示 。 

5. 破坏 性 

破坏 文件 或 数据 ,扰乱 系统 正常 工作 的 特性 被 称 为 破坏 性 。 任 何 病毒 只 要 侵入 系统 ,可 
能 会 导致 正常 的 程序 无 法 运行 ,删除 计算 机 内 的 文件 或 使 计算 机 内 的 文件 受到 不 同 程度 的 
损坏 。 通 常 表现 为 : 增删 改 . 移 。 


11.1.3 计算 机 病毒 的 分 类 


目前 世界 上 的 病毒 多 达 十 几 万 种 ,可 以 分 为 以 下 几 种 基本 类 型 。 

1. 感染 文件 型 病毒 

感染 文件 型 病毒 会 把 自己 加 载 到 可 执行 文件 中 (如 Windows 系统 中 的 . exe 文件 和 . dll 
文件 等 )。 当 病毒 感染 了 一 个 程序 后 , 它 在 被 执行 时 就 自我 复制 去 感染 系统 中 的 其 他 程序 和 
破坏 操作 。 目 前 ,jerusalem 和 cascade 病毒 是 这 类 病毒 中 比较 著名 的 。 

2. 感染 引导 区 型 病毒 

感染 引导 区 型 病毒 可 以 感染 软盘 、 硬 盘 或 可 移动 存储 设备 的 主 引 导 区 。 当 带 病 毒 的 磁 
盘 上 的 内 容 在 系统 启动 时 被 读 取 时 ,病毒 代码 就 会 被 执行 ,在 用 户 对 软盘 或 硬盘 进行 读 写 动 
作 时 进行 感染 活动 。 感 染 引 导 区 病毒 的 隐蔽 性 非常 强 ,可 以 对 计算 机 造成 极 大 破坏 。 
Ichelangelo 和 Stoned 病毒 是 这 种 病毒 中 比较 典型 的 。 

3. 宏 病 毒 

宏 病 毒 是 把 自己 加 载 到 Word、Excel ,Access 等 办 公 自 动 化 程序 中 ,利用 宏 语 言 编 写 的 
应 用 程序 来 运行 和 繁殖 。 由 于 用 户 经 常 把 带 有 宏 程 序 的 文件 共享 ,所 以 宏 病 毒 的 传播 速度 
是 非常 快 的 。 宏 病毒 利用 宏 命 令 的 强大 系统 调用 功能 ,实现 某 些 涉及 系统 底层 操作 的 破坏 。 
Marker 和 Melissa 病毒 是 这 种 病毒 的 典型 例子 。 

4. 恶作剧 电子 邮件 

这 种 病毒 就 像 它 的 名 字 一 样 ,是 一 种 假冒 的 病毒 警告 。 它 的 内 容 一 般 是 恐吓 用 户 ,表示 
将 要 对 用 户 计算 机 造成 极 大 的 破坏 ; 或 是 欺骗 用 户 计 算 机 即将 被 病毒 感染 ,警告 他 们 立即 
采取 紧急 措施 。 通 常 这 种 病毒 的 传播 是 通过 一 些 无 束 的 用 户 , 他 们 希望 发 送 这 个 信息 提醒 
其 他 人 防范 病毒 的 侵袭 。 恶 作 剧 电子 邮件 并 不 会 造成 什么 危害 ,但 是 有 的 恶作剧 电子 邮件 
会 指使 用 户 修改 系统 设置 或 是 删除 某 些 文件 ,这 将 会 影响 系统 的 安全 性 。Good Times 和 
Bud Frogs 病毒 传播 得 比较 广泛 。 

5. 变形 病毒 

为 了 避免 被 防毒 软件 模拟 而 被 侦查 ,有 些 病毒 在 每 一 次 传染 到 目标 后 ,病毒 自身 代码 和 
结构 在 空间 上 、 时 间 上 具有 不 同 的 变化 ,利用 此 种 技术 的 病毒 被 称 为 可 变形 的 。 要 达到 可 变 
形 ,必须 拥有 一 个 变形 引擎 。 一 个 变形 病毒 通常 非常 庞大 且 复 杂 。 举 例 来 说 ,Simile 病毒 包 
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含 14 000 行 汇编 语言 ,其 中 90% 都 是 变形 引擎 。 
11.1.4 计算 机 病毒 的 结构 和 原理 


1. 计算 机 病毒 的 结构 

计算 机 病毒 一 般 被 放 在 可 执行 文件 的 开始 或 结尾 ,或 以 其 他 方式 嵌入 ,关键 是 要 保证 当 
调用 受 感染 文件 时 ,首先 被 执行 的 是 病毒 程序 ,然后 才 是 原来 的 程序 。 计 算 机 病毒 一 般 由 
3 个 模块 构成 : 引导 模块 .感染 模块 和 破坏 模块 。 下 面 分 别 对 它们 进行 描述 。 

1) 引导 模块 

引导 模块 是 计算 机 病毒 的 控制 中 心 , 它 的 主要 作用 是 当 程 序 开始 工作 时 将 病毒 程序 从 
外 存 引 入 内 存 , 使 病毒 的 感染 模块 和 破坏 模块 处 于 活动 状态 ,以 监视 系统 运行 。 当 满足 触发 
条 件 时 ,病毒 会 按照 设计 的 程序 去 调用 破坏 模块 发 动 攻击 。 

2) 感染 模块 

感染 模块 用 于 实现 计算 机 病毒 的 扩散 功能 。 它 寻找 到 感染 目标 后 ,判断 目标 是 否 已 被 
感染 , 若 目 标 未 被 感染 则 完成 感染 工作 。 

3) 破坏 模块 

破坏 模块 是 计算 机 病毒 的 核心 部 分 , 它 用 于 完成 设计 者 的 破坏 初衷 。 首 先 判断 程序 运 
行 过 程 中 是 否 出 现 了 满足 病毒 触发 条 件 的 情况 , 若 满足 则 调用 破坏 程序 的 功能 ,比如 删除 程 
序 改写 磁盘 上 的 文件 内 容 等 。 

以 上 是 计算 机 病毒 的 组 成 部 分 ,但 并 不 是 所 有 的 病毒 都 由 这 3 个 模块 组 成 ,也 有 的 病毒 
会 缺少 其 中 一 些 模块 ,或 者 模块 之 前 的 界限 不 明显 。 

2. 计算 机 病毒 的 原理 

计算 机 系统 的 内 存 是 一 个 非常 重要 的 资源 ,几乎 所 有 的 工作 都 需要 在 内 存 中 运行 ,所 以 
控制 了 内 存 就 相当 于 控制 了 计算 机 ,病毒 一 般 都 是 通过 各 种 方式 把 自己 植 人 内 存 , 获 取 系统 
最 高 控制 权 , 然 后 感染 在 内 存 中 运行 的 程序 。 注 意 ,所 有 的 程序 都 在 内 存 中 运行 ,也 就 是 说 ， 
在 感染 了 病毒 后 ,你 所 有 运行 过 的 程序 都 有 可 能 被 传染 上 ,感染 哪些 文件 这 由 病毒 的 特性 所 
决定 。 绝 大 多 数 病 毒 的 工作 原理 都 非常 相似 ,下 面 以 引导 型 病毒 、 文 件 型 病毒 以 及 宏 病 毒 为 
例 来 介绍 计算 机 病毒 的 工作 过 程 。 

1) 引导 型 病毒 工作 过 程 

计算 机 病毒 必须 进入 内 存 才 可 以 继续 感染 ,只 有 被 运行 才 可 以 进入 内 存 。 引 导 型 病毒 
感染 的 不 是 文件 ,而 是 磁盘 引导 区 ,病毒 将 自身 写 人 引导 区 ,这 样 ,只 要 磁盘 被 读 写 ,病毒 就 
首先 被 读 取 入 内 存 。 接 着 系统 执行 引导 区 内 容 , 首 先 被 执行 的 是 病毒 的 引导 模块 ,引导 模块 
将 病毒 的 全 部 代码 放 到 内 存 某 段 位 置 ,并 对 这 一 段 内 存 进行 监控 。 然 后 ,引导 模块 会 修改 系 
统 参数 ,为 病毒 的 传染 和 迫害 设置 触发 条 件 。 最 后 ,病毒 会 执行 系统 的 正常 引导 过 程 ,完成 
系统 的 引导 工作 ,在 内 存 中 的 病毒 等 待 满足 触发 条 件 的 时 刻 ,一 旦 满足 条 件 则 完成 其 破坏 
功能 。 

2) 文件 型 病毒 工作 过 程 

对 于 可 执行 文件 ,计算 机 病毒 在 传染 的 时 候 ,首先 要 将 病毒 代码 植 入 被 传染 的 程序 (也 
称 宿主 ) 中 ,并 修改 宿主 程序 的 入 口 地 址 ,使 之 分 别 指向 病毒 的 感染 模块 和 破坏 模块 ,这 样 当 
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执行 宿主 程序 时 ,病毒 代码 会 首先 执行 感染 和 破坏 功能 ,完成 后 再 将 程序 的 执行 权 交 给 宿主 
程序 ,使 用 户 觉察 不 到 宿主 程序 中 病毒 的 存在 ,如 图 11. 1 所 示 。 


感染 文件 读 写 操作 


是 否 被 感染 > 


YLN 


修改 系统 参数 ， 感 染 宿主 程序 | 


重 否 符合 
发 作 条 件 

YN 执行 正常 程序 
进行 破坏 


图 11.1 文件 型 病毒 工作 过 程 
3) 宏 病 毒 工作 过 程 
宏 病 毒 是 一 类 主要 感染 Word、Excel 等 办 公 软 件 的 病毒 ,是 利用 了 一 些 数据 处 理 系统 
内 置 宏 命 令 编程 语言 的 特性 而 形成 的 。 这 些 数据 处 理 系 统 内 置 安 编程 语言 ,使 得 宏 病毒 有 
机 可 乘 。 病 毒 可 以 把 特定 的 宏 命令 代码 附加 在 指定 文件 上 , 当 Word 等 文档 被 打开 时 ,隐藏 
在 宏 命 令 中 的 病毒 就 被 激活 ,用 于 监视 文档 的 操作 ,一 旦 到 达 触 发 点 就 进行 破坏 。 如 果 文 档 
关闭 , 宏 病 毒 随 着 宏 命令 退出 ,不 会 驻 留 内 存 。 


11.2 蠕虫 病毒 


1988 年 一 个 由 美国 CORNELL 大 学 研究 生 莫 里 斯 (Robert Morris) 编写 的 蠕虫 病毒 造 
成 了 数 千 台 计算 机 宕 机 ,蠕虫 病毒 开始 现 身 网 络 。 

蠕虫 病毒 是 自 包含 的 程序 (或 是 一 套 程 序 ) , 它 通常 是 经 过 某 种 网 络 连接 将 自身 从 一 台 
计算 机 分 发 到 其 他 计算 机 系统 中 。 蠕 虫 病毒 在 计算 机 之 间 进 行 传播 时 无 须 用 户 干预 , 它 不 
像 一 般 病毒 那样 感染 文件 后 执行 直接 破坏 行为 , 它 只 是 在 计算 机 内 存 中 自我 复制 ,并 向 网 络 
上 尽 可 能 多 的 计算 机 发 送 自身 的 副本 。 这 种 高 速 的 自我 复制 在 内 存 中 达到 一 定数 量 后 ,会 
造成 网 络 或 本 地 系统 资源 耗 尽 导致 拒绝 服务 攻击 ,甚至 会 引起 系统 崩溃 。 


11.2.1 蠕虫 病毒 与 一 般 计 算 机 病毒 的 异同 


蠕虫 病毒 具有 一 般 计算 机 病毒 的 一 些 共 性 ,如 感染 性 、 隐 项 性 、 破 坏 性 等 ,它们 都 是 攻击 
计算 机 的 系统 ,但 它们 也 存在 差异 ( 见 表 11.1)。 蠕 虫 病毒 是 利用 计算 机 系统 的 漏洞 主动 攻 
击 网 络 计算 机 ,传播 方式 是 采用 网 络 连接 或 电子 邮件 方式 由 一 台 计 算 机 自我 复制 到 另外 一 
台 计 算 机 ,不 感染 文件 ,而 一 般 病毒 必须 以 其 他 程序 文件 为 宿主 文件 进行 依附 感染 和 传播 。 
蠕虫 病毒 与 一 般 病毒 的 区 别 如 表 11. 1 所 示 。 


268 


信息 安全 原理 与 技术 (第 2 版 ) 


表 11.1 蠕虫 病毒 和 一 般 病毒 之 间 的 区 别 


蠕虫 病毒 一 般 病毒 
存在 形式 独立 程序 寄生 
复制 方式 自我 复制 嵌入 到 宿主 程序 (文件 ) 中 
感染 方式 主动 攻击 宿主 程序 运行 
感染 目标 网 络 上 的 其 他 计算 机 本 地 文件 
触发 感染 程序 自身 计算 机 使 用 者 
影响 重点 网 络 性 能 和 系统 性 能 文件 系统 
用 户 无 关 病毒 传播 的 关键 环节 
防止 措施 为 系统 漏洞 打 补 丁 从 宿主 文件 中 清除 


11.2.2 蠕虫 病毒 的 工作 原理 
蠕虫 病毒 程序 一 般 由 两 部 分 组 成 : 主 程序 和 引导 程序 。 主 程序 一 旦 在 计算 机 上 建立 就 


会 搜索 与 当前 计算 机 联网 的 其 他 计算 机 的 信息 。 


它 能 通过 读 取 公共 配置 文件 ,并 运行 显示 


当前 网 上 联机 状态 信息 的 系统 使 用 程序 而 做 到 这 一 点 。 随 后 , 它 尝 试 利用 前 面 所 描述 的 那 
些 缺 陷 , 在 这 些 远程 计算 机 上 建立 引导 程序 ,把 蠕虫 病毒 程序 传染 给 每 台 计算 机 。 


扫描 系统 漏洞 


现场 处 理 


1 
复制 


11.2 蠕虫 病毒 工作 流程 


4) 蠕虫 病毒 的 传播 方式 


1) 蠕虫 病毒 的 工作 流程 

蠕虫 病毒 的 工作 流程 一 般 可 以 分 为 漏洞 扫描 、 攻 击 、 现 场 
处 理 、 复 制 4 个 阶段 ( 见 图 11.2)。 当 蜂 虫 病毒 扫描 “到 有 漏洞 
的 计算 机 系统 后 ,将 蠕虫 主体 迁移 到 目标 主机 。 然 后 ,蠕虫 病 
毒 进入 被 感染 的 系统 ,对 目标 主机 进行 现场 处 理 。 现 场 处 理 
部 分 的 工作 包括 隐藏 .信息 搜集 等 。 不 同 的 蠕虫 病毒 采用 的 
网 络 地 址 生成 策略 可 能 并 不 同 ,甚至 随机 生成 。 各 个 步骤 的 
繁 简 程度 也 不 同 , 有 的 十 分 复杂 ,有 的 则 很 简单 。 

2) 蠕虫 病毒 的 工作 方式 

随机 产生 一 个 网 络 地 址 ; 判断 对 应 此 网 络 地 址 的 计算 机 
是 否 满足 感染 条 件 , 如 果 满 足 则 感染 ,否则 持续 循环 扫描 
检测 。 

3) 蠕虫 病毒 的 行为 特征 

蠕虫 的 活动 行为 特征 一 般 包括 主动 攻击 .行踪 隐蔽 ,利用 
系统 、 网 络 应 用 服务 漏洞 ,造成 网 络 拥塞 ,降低 系统 性 能 ,产生 
安全 隐患 具有 反复 性 和 破坏 性 。 


蠕虫 病毒 一 般 使 用 3 种 网 络 工具 进行 传播 : 电子 邮件 设备 远程 执行 工具 、 远 程 登录 工 
具 。 蠕 虫 病毒 可 以 将 自身 的 副本 以 电子 邮件 的 形式 发 送 到 网 络 的 其 他 计算 机 上 ,在 其 他 计 
算 机 上 执行 自身 复制 ,以 用 户 身份 进入 远程 系统 ,然后 使 用 命令 将 自身 从 一 台 计 算 机 复制 到 


另外 一 台 计 算 机 。 
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11.2.3 典型 蠕虫 病毒 介绍 


1. Morris 蠕虫 病毒 


人 们 最 初 和 最 为 熟知 的 蠕虫 病毒 应 该 就 是 1998 年 Robert Morris 所 设计 的 大 小 为 
60KB 的 病毒 。Morris 蠕虫 病毒 通过 Internet 并 使 用 多 种 不 同 的 技术 在 UNIX 系统 中 传 
播 , 当 复 制 工作 开始 执行 时 , 它 的 首要 任务 是 找到 当前 主机 所 联系 的 其 他 系统 ,从 而 可 以 从 
当前 主机 进入 其 他 系统 。Morris 蠕虫 病毒 是 通过 检查 各 种 各 样 的 目录 来 完成 该 任务 的 。 
这 些 目录 中 可 能 包含 以 下 内 容 : 表明 主机 信任 其 他 哪些 系统 的 系统 目录 、 用 户 邮件 地 址 文 
件 、 用 户 赋 予 自身 登录 远程 账户 的 许可 权 目 录 , 以 及 用 来 报告 网 络 连 接 状 态 的 文件 。 一 旦 找 
到 其 他 系统 ,Morris 蠕虫 病毒 就 会 想 办 法 获取 它们 的 访问 权限 。 一 般 有 3 种 方法 。 

(1) Morris 蠕虫 病毒 试图 以 合法 用 户 的 身份 登录 远程 系统 。 病 毒 首先 会 试图 打开 局 部 
密码 文件 ,然后 再 使 用 它 所 得 到 的 密码 和 相应 的 用 户 标识 部 分 。 该 设想 基于 许多 用 户 会 在 
不 同 的 系统 中 使 用 相同 的 密码 。 为 了 得 到 用 户 的 密码 ,蠕虫 病毒 将 执行 一 种 专门 用 来 破译 
密码 的 程序 ,并 努力 得 到 每 个 用 户 的 用 户 名 及 其 简单 的 排列 、 包 含 432 个 内 置 密码 的 列表 
(Morris 蠕虫 病毒 认为 该 列表 是 可 能 的 候选 者 ) 、 当 前 系统 目录 中 的 所 有 指令 。 

(2) 在 Finger 协议 上 安装 窃听 器 ,从 而 能 知道 远程 用 户 所 在 之 处 。 

(3) 在 远程 处 理 操作 的 调试 选择 权 中 设置 后 门 程序 ,这 些 远 程 操 作 是 指 发 送 或 接收 用 
户 邮 件 。 

以 上 提 到 的 几 种 方法 ,只 要 有 一 个 能 够 成 功 , Morris 蠕虫 病毒 就 会 和 操作 系统 命令 解 
释 器 进行 通信 。 它 会 向 该 命令 解释 器 发 送 一 个 比较 短 的 引导 程序 ,并 发 布 某 条 命令 来 执行 
该 程序 ,然后 在 网 络 上 终止 连接 主机 的 操作 。 接 下 来 该 引导 程序 便 收回 主 程序 并 下 载 病毒 
的 其 他 部 分 ,最 后 新 的 病毒 就 可 以 开始 执行 了 。 

2. 冲击 波 蠕虫 病毒 

冲击 波 蠕虫 (Worm. Blaster 或 Lovesan) 是 一 种 传播 于 Microsoft 操作 系统 (Windows 
XP 与 Windows 2000) 的 蠕虫 病毒 ,爆发 于 2003 年 8 月 。 冲 击 波 蠕虫 病毒 是 一 种 利用 
Microsoft Windows DCOM RPC 漏洞 进行 传播 的 蠕虫 病毒 ,传播 能 力 很 强 。 在 短 短 一 周 之 
内 ,冲击 波 蠕虫 病毒 至 少 攻击 了 全 球 80% 的 Windows 用 户 。 

蠕虫 病毒 爆发 前 首先 有 过 一 个 阶段 是 人 为 的 网 络 攻 击 , 受 到 攻击 的 系统 会 出 现 系 统 意 
外 终止 运行 ,然后 计算 机 重新 启动 等 现象 。 最 常见 的 是 使 用 过 程 中 窗口 突然 出 现 以 下 类 似 
信息 “系统 即将 关机 ,请 保存 所 有 正在 运行 的 工作 ,然后 注销 。 未 保存 的 改动 将 会 丢失 。 关 
机 是 由 NTAUTHORITY\SYSTEM 初始 的 ?等 。 这 些 具体 发 作 形式 开始 是 由 于 攻击 者 从 
网 络 利 用 RPC 漏洞 实施 了 攻击 ,只 要 连接 Internet 就 可 能 被 攻击 , 重 装 系统 也 不 能 解决 问 
题 。 但 是 接 下 来 很 快 就 出 现 了 利用 这 一 漏洞 的 蠕虫 病毒 ,而 且 蠕 虫 所 具有 的 不 断 自我 复制 
和 自动 传播 的 特点 ,使 得 受到 破坏 的 计算 机 数量 急剧 上 升 。 受 到 感染 的 系统 所 表现 出 来 的 
基本 问题 如 下 。 

。 Windows XP: 开机 不 定时 ,产生 “Remote Procedure Call(RPC) 服 务 意 外 终止 …… 

Windows 将 重新 启动 ……” 的 报告 ,系统 将 反复 自动 重新 启动 ,无 法 正常 使 用 。 
。 Windows 2000: 复制 /粘贴 无 效 、svchost. exe 服务 不 断 报错 、 一 些 硬件 加 速 的 功能 
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无 法 调用 无 法 拖 搜 、 页 面 无 法 浏览 等 ,网 络 服务 器 可 能 有 RPC 服务 停止 ,因此 会 引 
起 其 他 服务 (如 IIS) 不 能 正常 工作 。 

3. 红色 代码 

2001 年 7 月 出 现 的 红色 代码 蠕虫 病毒 利用 Microsoft IIS 系统 的 服务 器 的 安全 漏洞 进 
行 病毒 的 传播 , 它 使 得 系统 在 Windows 状态 下 不 能 检查 系统 文件 。 红 色 代 码 利用 任意 探测 
到 的 IP 地 址 ,对 其 他 主机 进行 传播 。 在 某 个 特定 时 间 内 , 它 只 进行 传播 ,然后 再 从 不 同 主机 
向 政府 Web 站 点 发 送 大 量 的 包 以 发 动 “拒绝 服务 ”的 攻击 。 红 色 代 码 也 会 以 周期 性 地 暂停 
活动 和 恢复 活动 。 在 第 二 次 的 大 规模 的 攻击 中 ,红色 代码 仅 用 14 个 小 时 就 感染 了 近 36 万 
台 计 算 机 ,加 上 对 目标 服务 器 攻击 所 造成 的 伤害 , 它 消耗 了 大 量 的 Internet 资源 并 损坏 了 大 
量 的 服务 器 。 

红色 代码 2 是 攻击 Microsoft IIS 服务 器 时 产生 的 变种 。 此 外 ,该 改进 版 建立 了 一 个 后 
门 ,使 得 被 攻击 的 计算 机 “后 门 打开 ”, 从 而 也 使 得 攻击 者 可 以 直接 控制 被 攻击 的 计算 机 。 

4. 尼 姆 达 

2001 年 末 , 出 现 了 尼 姆 达 (Worm. Nimda) 蠕 虫 病毒 , 它 的 破坏 力 极 强 ,主要 通过 电子 邮 
件 、 共 享 网 络 资源 ,已 被 感染 的 Web 服务 器 IIS 服务 器 漏洞 .扫描 红色 代码 病毒 中 的 后 门 等 
方式 从 一 台 计 算 机 传播 到 另 一 台 计 算 机 。 

尼 姆 达 蠕 虫 病毒 运行 时 ,通常 会 修改 HTM、HTML、ASP 等 类 型 的 文件 的 Web 文档 或 
受 感染 系统 中 的 可 执行 文件 ,并 且 以 不 同 的 文件 名 对 自身 进行 大 量 复制 。 

除 以 上 介绍 的 典型 蠕虫 病毒 外 , 曾 造 成 重大 伤害 的 还 有 利用 Microsoft SQL Server 组 
冲 区 溢出 的 漏洞 进行 传播 的 SQL Slammer, 以 及 利用 大 量 发 送 电子 邮件 进行 感染 的 
Mydoom。 随 着 Internet 的 高 速 发 展 ,恶意 软件 层出不穷 ,并 且 能 飞速 传播 。 


11.2.4 蠕虫 病毒 的 发 展 与 防治 


通过 对 蠕虫 病毒 工作 原理 的 分 析 ,蠕虫 病毒 在 使 用 现 有 技术 的 前 提 下 ,其 能 力 可 以 在 以 
下 几 个 方面 有 所 加 强 。 

(1) 跨 平台 运行 能 力 : 现在 的 蠕虫 病毒 所 能 运行 的 平台 比较 单一 , 跨 平 台 性 能 还 不 足 ， 
将 来 的 蠕虫 病毒 会 包含 丰富 的 漏洞 库 , 具 有 多 操作 系统 的 运行 能 力 。 

(2) 多 态 性 : 为 了 躲避 杀毒 软件 的 检测 ,蠕虫 病毒 在 传播 的 过 程 中 除了 改变 外 形 , 也 将 加 
强 密码 技术 的 使 用 ,并 且 通 过 自身 拥有 的 一 套 行为 模式 指令 系统 ,从 而 表现 出 不 同 的 行为 。 

(3) 隐身 技术 : 进一步 融入 操作 系统 内 核 ,具有 更 强 的 防 查 杀 功 能 。 

(4) 攻击 智能 化 电子 产品 : 越 来 越 多 的 智能 化 电子 产品 ,例如 网 络 电视 、 智 能 冰箱 、 掌 
上 电脑 .3G 手机 、 便 携 信 息 终端 (YPDA) 等 ,这 些 电 子 产 品 可 利用 先进 的 无 线 技术 连接 到 
Internet 上 ,利用 这 些 电子 产品 操作 系统 存在 的 漏洞 实现 攻击 , 轻 者 使 它们 不 能 正常 工作 ， 
重 者 使 它们 的 系统 瘫痪 ,甚至 彻底 报废 。 

网 络 蠕虫 病毒 的 种 类 越 来 越 多 ,破坏 力也 越 来 越 大 ,而 且 更 加 隐蔽 ,网 络 蠕虫 病毒 的 防 
范 和 控制 越 来 越 困 难 。 尽 早 地 发 现 蠕虫 病毒 并 对 感染 蠕虫 病毒 的 主机 进行 隔离 和 恢复 ,是 
防止 蠕虫 病毒 泛滥 、 造 成 重大 损失 的 关键 。 对 于 蠕虫 病毒 的 防治 可 以 采用 以 下 几 个 主要 
措施 。 
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(1) 修补 系统 漏洞 ,及 时 下 载 系 统 漏洞 补丁 程序 ,并 及 时 升级 系统 。 

(2) 设置 防火 墙 : 禁止 除 服务 端口 外 的 其 他 端口 ,切断 蠕虫 病毒 的 传输 通道 和 通信 通道 。 

(3) 对 邮件 进行 监控 ,防止 带 毒 邮件 进行 传播 。 

(4) 建立 局 域 网 内 部 的 升级 系统 ,包括 各 种 操作 系统 补丁 程序 升级 、 各 种 常用 的 应 用 软 
件 升 级 、 各 种 杀毒 软件 病毒 库 的 升级 等 。 

(5) 建立 灾难 备份 系统 : 对 于 数据 库 和 数据 系统 ,必须 采用 定期 备份 ,多 机 备份 措施 ， 
防止 意外 灾难 下 的 数据 丢失 。 

(6) 采用 入 侵 检 测 技术 : 入 侵 检 测 是 一 种 主动 防御 网 络 攻击 的 技术 ,不 仅 能 主动 监控 
外 网 的 攻击 还 能 监控 来 自 内 部 的 攻击 ,弥补 了 防火 墙 的 不 足 。 建 立 病 毒 检 测 系统 能 够 在 第 
一 时 间 检 测 到 网 络 异 常 和 蠕虫 病毒 攻击 ,及 时 断 开 感染 蠕虫 病毒 的 计算 机 。 

(7) 删除 蠕虫 病毒 要 利用 的 程序 : 删除 或 重 命名 客户 端 上 传 程序 ,如 ftp. exe 和 fftp. 
exe; 删除 或 重 命名 命令 解释 器 ,如 UNIX 系统 下 的 shell, Windows 系统 下 的 cmd. exe 和 
WScript. exe 等 。 


11.3 特洛伊 木马 


特洛伊 木马 得 名 于 古 希 腊 神 话 中 特洛伊 木马 的 故事 。 这 是 一 种 伪装 成 正常 程序 的 恶意 
代码 。 木 马 程序 表面 上 看 有 用 或 无 害 ,但 却 包含 了 为 完成 特殊 任务 而 编写 的 代码 ,比如 在 系 
统 中 提供 后 门 使 黑客 可 以 窃取 数据 .更改 系统 配置 或 实施 破坏 等 ,这 些 特殊 功能 处 于 隐蔽 状 
态 , 执 行 时 不 为 人 人知。 特洛伊 木马 不 能 进行 自我 复制 并 传播 ,因此 它 不 属于 计算 机 病毒 或 里 
虫 ,但 却 可 以 被 计算 机 病毒 或 蠕虫 将 其 复制 到 目标 系统 上 ,作为 其 攻击 的 手段 。 
11.3.1 木马 的 特征 

木马 程序 实质 是 一 种 基于 C/S( 客 户 / 服 务 器 ) 模 式 的 远程 控制 管理 工具 ,服务 器 端 安 装 
在 被 控制 的 计算 机 中 。 它 一 般 通 过 电子 邮件 或 其 他 手段 让 用 户 在 其 计算 机 中 运行 ,达到 控 
制 该 用 户 计算 机 的 目的 。 客 户 端 由 控制 者 使 用 ,一 般 客户 端 和 服务 器 端 建立 连接 后 实现 对 
远程 计算 机 的 控制 。 目 前 世界 上 有 很 多 木马 程序 ,它们 使 用 不 同 的 程序 语言 编写 而 成 ,也 能 
运行 在 不 同 的 平台 上 .通常 具备 以 下 几 个 特征 如 下 。 

1. 伪装 性 

木马 程序 的 服务 器 端 会 被 攻击 者 伪装 成 合法 程序 ,比如 伪装 成 常用 的 各 种 文件 形式 ,或 
者 捆绑 在 正常 的 程序 中 。 这 样 诱惑 用 户 执行 它 , 木 马 代 码 就 会 在 未 经 授权 的 情况 下 植 人 到 
系统 中 运行 。 

2. 隐蔽 性 

木马 程序 与 病毒 程序 一 样 具有 隐蔽 性 一般 在 计算 机 启动 时 悄悄 运行 ,不 会 暴露 在 系统 
进程 管理 器 中 ,以 躲避 各 种 安全 工具 的 检测 ,用 户 往往 觉察 不 到 。 

3. 破坏 性 

通过 客户 端 程序 的 远程 控制 ,攻击 者 可 以 对 被 控制 计算 机 中 的 文件 进行 删除 、 编 辑 等 破 
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坏 操 作 。 除 此 之 外 ,木马 程序 能 够 窥视 被 人 侵 计算 机 上 的 所 有 资料 ,不 仅 包括 硬盘 上 的 文 
件 ,还 包括 显示 器 中 的 画面 ,使 用 者 在 计算 机 操作 过 程 中 输入 的 密码 等 , 盗 取 使 用 者 信息 进 
行 违法 活动 。 

11.3.2 木马 的 工作 原理 


从 过 程 上 看 木马 入 侵 大 致 可 分 为 以 下 6 步 , 下 面 我 们 就 按 这 6 步 来 详细 阐述 木马 的 攻 
击 原理 。 

1. 配置 木马 

一 般 来 说 一 个 设计 成 熟 的 木马 都 有 木马 配置 程序 ,从 具体 的 配置 内 容 看 ,主要 是 为 了 实 
现 两 方面 功能 。(1) 木 马 伪装 : 木马 配置 程序 为 了 在 服务 端 尽 可 能 地 隐藏 木马 ,会 采用 多 种 
伪装 手段 ,如 修改 图 标 .捆绑 文件 .定制 端口 .自我 销毁 等 。(2) 信 息 反馈 : 木马 配置 程序 将 
就 信息 反馈 的 方式 或 地 址 进行 设置 ,如 设置 信息 反馈 的 邮件 地 址 IRC 号 ICO 号 等 。 

2. 传播 木马 

(1) 传播 方式 : 木马 的 传播 方式 主要 有 两 种 : 一 种 是 通过 E-mail, 控 制 端 将 木马 程序 以 
附件 的 形式 夹 在 邮件 中 发 送出 去 , 收 信人 只 要 打开 附件 系统 就 会 感染 木马 ; 另 一 种 是 软件 
下 载 , 一 些 非 正规 的 网 站 以 提供 软件 下 载 为 名 义 ,将 木马 捆绑 在 软件 安装 程序 上 ,用 户 下 载 
后 ,只 要 运行 这 些 程序 ,木马 就 会 自动 安装 。 

(2) 伪装 方式 : 鉴于 木马 的 危害 性 ,很 多 人 对 木马 还 是 有 一 定 了 解 的 ,这 对 木马 的 传播 
起 了 一 定 的 抑制 作用 ,这 是 木马 设计 者 所 不 愿 见 到 的 ,因此 他 们 开发 了 多 种 功能 来 伪装 木 
马 ,以 达到 降低 用 户 警 觉 .欺骗 用 户 的 目的 。 

3. 运行 木马 

服务 端 用 户 运行 木马 或 捆绑 木马 的 程序 后 ,木马 就 会 自动 进行 安装 。 首 先 将 自身 复制 
到 Windows 的 系统 文件 夹 中 (C:\Windows 或 C:\Windows\System 目录 下 ), 然 后 在 注册 
表 、 启 动 组 、 非 启动 组 中 设置 好 木马 的 触发 条 件 ,这 样 木马 的 安装 就 完成 了 。 木 马 在 安装 后 
就 可 以 启动 了 。 

4. 信息 泄露 

一 般 来 说 ,设计 成 熟 的 木马 都 有 一 个 信息 反馈 机 制 。 所 谓 信息 反馈 机 制 是 指 木马 在 被 
成 功 安装 后 会 收集 一 些 服务 端的 软 硬 件 信息 ,并 通过 E-mail、IRC 或 ICO 的 方式 告知 控制 
端 用 户 。 

5. 建立 连接 

一 个 木马 连接 的 建立 首先 必须 满足 两 个 条 件 : 一 是 服务 端 已 安装 了 木马 程序 ; 二 是 控 
制 端 和 服务 端 都 要 在 线 。 在 此 基础 上 控制 端 可 以 通过 木马 端口 与 服务 端 建 立 连接 。 

6. 远程 控制 

建立 木马 连接 后 ,控制 端 端口 和 木马 端口 之 间 将 会 出 现 一 条 通道 。 控 制 端 上 的 控制 端 
程序 可 凭借 这 条 通道 与 服务 端 上 的 木马 程序 取得 联系 ,并 通过 木马 程序 对 服务 端 进行 远程 
控制 。 
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11.3.3 木马 的 分 类 


根据 木马 程序 所 执行 的 功能 差异 ,大 致 可 以 将 其 分 为 以 下 几 类 。 

1. 远程 访问 型 

这 是 现在 传播 比较 广泛 的 特洛伊 木马 ,只 要 用 户 运 行 计算 机 上 木马 的 服务 器 端 程序 , 攻 
击 者 就 可 以 通过 客户 端 程序 远程 控制 计算 机 ,可 以 在 本 地 计算 机 上 做 任意 的 事情 ,比如 记录 
键盘 操作 、 上 传 下 载 .截取 屏幕 等 。 这 种 类 型 的 木马 常见 的 有 Back Office、 国 产 的 冰河 等 。 

2. 窃取 信息 型 

这 种 木马 程序 会 查找 系统 中 各 类 重要 的 信息 ,如 用 户 名 、 系 统 密码 ,键盘 按键 情况 等 , 找 
到 机 密 文件 后 设法 将 文件 发 送 到 特定 的 攻击 者 的 电子 邮箱 中 。 

3. 修改 系统 配置 型 

此 类 木马 在 目标 系统 上 运行 后 会 修改 系统 的 配置 ,比如 共享 木马 (Share all) , 它 可 修改 
注册 表 使 磁盘 共享 随 之 关闭 。 

4. 破坏 型 

此 类 木马 程序 是 以 破坏 系统 的 正常 工作 为 目的 ,一 旦 触发 条 件 成 立 , 即 执行 破坏 操作 。 
形形色色 的 逻辑 炸弹 都 可 以 归 为 这 种 类 型 的 木马 。 


11.4 恶意 代码 的 防治 对 策 


计算 机 技术 和 网 络 技术 正在 飞速 发 展 , 新 的 威胁 也 在 疯狂 增长 ,没有 百分之百 安全 的 网 
络 环境 。 用 户 如 何 保证 自己 的 计算 机 不 受 感染 ,并 且 不 把 恶意 代码 传播 到 相连 的 其 他 计算 
机 上 ,这 需要 用 户 掌握 一 些 基本 的 防范 和 治理 措施 。 


11.4.1 计算 机 病毒 的 防治 


自 计算 机 病毒 技术 出 现 以 来 ,人 们 就 开始 了 防治 病毒 技术 的 研究 , 随 着 计算 机 和 网 络 技 
术 的 发 展 ,病毒 技术 与 防治 病毒 的 技术 也 在 不 断 发 展 、 斗 争 。 病 毒 技 术 变 幻 莫 测 ,防治 病毒 
的 技术 往往 滞后 。 计 算 机 病毒 的 防治 技术 大 致 可 以 分 为 3 个 方面 : 预防 病毒 .检测 病毒 和 

1. 预防 病毒 

防 患 于 未 然 要 比 亡羊补牢 的 效果 好 很 多 ,预防 病毒 能 够 降低 计算 机 感染 病毒 的 风险 。 
预防 病毒 从 技术 和 管理 的 角度 出 发 ,应 采取 如 下 措施 。 

(1) 配置 好 的 计算 机 首先 安装 杀毒 软件 ,对 硬盘 和 软件 进行 查 杀 操作 后 再 使 用 。 

(2) 不 要 赋予 用 户 账户 管理 员 权 限 . 禁 止 别 人 使 用 计算 机 导致 恶意 软件 被 引入 。 

(3) 经 常 对 数据 进行 备份 ,避免 病毒 修改 后 无 法 恢复 。 

(4) 在 没有 安装 杀毒 软件 的 计算 机 上 , 尽 可 能 避免 使 用 U 盘 等 移动 磁盘 。 

(5) 对 于 可 疑 的 文件 .网 页 和 邮件 ,不 要 轻易 打开 。 
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(6) 安装 一 套 比 较 好 的 反 病 毒 软 件 ,进行 实时 监控 ,及 时 升级 。 

2. 检测 病毒 

常用 的 检测 病毒 方法 有 : 特征 代码 法 、 校 验 和 法 ,行为 监测 法 、 软 件 模拟 法 等 。 这 些 方 
法 依据 的 原理 不 同 ,实现 时 所 需 开 销 不 同 ,检测 范 围 也 不 同 ,各 有 所 长 。 

1) 特征 代码 法 

特征 代码 法 被 广泛 地 应 用 在 病毒 检测 工具 中 。 特 征 代码 法 是 检测 已 知 病毒 的 最 简单 、 
开销 最 小 的 方法 。 特 征 代 码 法 的 工作 原理 如 下 。 

采集 已 知 病毒 样本 ,在 病毒 样本 中 ,抽取 特征 代码 。 抽 取 时 依据 如 下 原则 : 抽取 的 代码 
比较 特殊 ,不 大 可 能 与 普通 正常 程序 代码 吻合 。 抽 取 的 代码 要 有 适当 长 度 ,一 方面 维持 特征 
代码 的 唯一 性 , 另 一 方面 又 不 要 有 太 大 的 空间 与 时 间 的 开销 。 如 果 病 毒 的 特征 代码 增长 一 
个 字 节 , 若 要 检测 3000 种 病毒 ,增加 的 空间 就 是 3000 字 节 。 所 以 要 在 保持 唯一 性 的 前 提 
下 ,尽量 使 特征 代码 长 度 短 一 些 , 以 减少 空间 与 时 间 开 销 。 还 要 将 特征 代码 纳入 病毒 数据 
库 。 检 测 病毒 时 ,打开 被 检测 文件 ,在 文件 中 检查 是 否 含有 病毒 数据 库 中 的 病毒 特征 代码 。 
由 于 特征 代码 与 病毒 一 一 对 应 ,因此 如 果 在 文件 中 发 现 了 符合 病毒 特征 代码 的 内 容 , 便 可 以 
断定 ,被 查 文件 中 患 有 该 种 病毒 。 采 用 病毒 特征 代码 法 的 检测 工具 , 面 对 不 断 出 现 的 新 病 
毒 ,必须 不 断 更 新 版 本 。 病 毒 特征 代码 法 由 于 无 法 事先 知道 新 病毒 的 特征 代码 ,因而 无 法 检 
测 未 知 病毒 。 

特征 代码 法 的 优点 : 检测 准确 快速 、 可 识别 病毒 的 名 称 \ 误 报警 率 低 , 并 且 依 据 检 测 结 
果 , 可 做 相关 杀毒 处 理 。 缺 点 : 不 能 检测 未 知 病毒 ` 须 要 事先 搜集 已 知 病毒 的 特征 代码 、 在 
网 络 上 效率 低 (在 网 络 服务 器 上 ,长 时 间 检 测 会 使 整个 网 络 性 能 变 坏 ) 。 

2) 校 验 和 法 

计算 出 正常 文件 的 程序 代码 的 校 验 和 ,并 保存 起 来 ,可 供 被 检测 的 对 象 对 照 比较 ,以 判 
断 是 否 感染 了 计算 机 病毒 。 有 3 种 方式 运用 校 验 和 法 检测 病毒 。 

(1) 在 检测 病毒 工具 中 加 入 校 验 和 法 ,对 被 查 对 象 文件 计算 其 正常 状态 的 校 验 和 ,将 校 
验 和 值 写 入 被 查 文件 中 或 检测 工具 中 ,而 后 进行 比较 。 

(2) 在 应 用 程序 中 ,可 提供 校 验 和 法 自我 检测 功能 ,将 文件 正常 状态 的 校 验 和 写 人 文 
件 本 身 。 每 当 应 用 程序 启动 时 ,比较 现行 校 验 和 与 原 校 验 和 值 ,实现 应 用 程序 的 自我 
检测 。 

(3) 将 校 验 和 检查 程序 常 驻 内 存 , 每 当 应 用 程序 运行 时 ,自动 比较 应 用 程序 内 部 或 别 的 
文件 中 预先 保存 的 校 验 和 。 

这 种 技术 的 优点 是 可 侦 测 到 各 种 计算 机 病毒 ,包括 未 知 病毒 ,能 发 现 被 查 文件 的 细微 变 
化 。 不 足 之 处 在 于 , 误 判 率 高 , 它 不 能 识别 病毒 名 称 , 某 些 正常 的 程序 操作 引起 的 文件 内 容 
改变 会 被 误 认 为 是 病毒 攻击 。 此 外 , 它 不 能 对 付 一 些 隐蔽 性 病毒 。 有 些 聪明 的 病毒 在 进驻 
内 存 后 ,会 自动 剥 去 染 毒 程序 中 的 病毒 代码 ,使 算出 的 校 验 和 是 正常 值 以 逃避 校 验 和 法 的 
检测 。 

3) 行为 监测 法 

由 于 病毒 在 感染 及 破坏 时 都 表现 出 一 些 共 同行 为 ,而 且 比较 特殊 ,这 些 行 为 在 正常 程序 
中 比较 罕见 ,因此 可 以 通过 监测 这 些 行为 来 检测 病毒 存在 与 否 。 通 常 这 些 行为 包括 以 下 
内 容 。 
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(1) 占用 INT 13H。 所 有 的 引导 型 病毒 ,对 Boot 扇 区 进行 攻击 。 当 系统 启动 时 ,Boot 
扇 区 获得 执行 权 , 由 于 这 时 操作 系统 功能 尚未 设置 好 ,无 法 利用 ,所 以 引导 型 病毒 一 般 都 会 
占用 INT 13H。 

(2) 对 COM 及 EXE 文件 做 写 和 动作。 计算 机 病毒 要 传染 给 其 他 文件 ,必须 要 对 COM 
或 EXE 文件 进行 写 人 动作 ,而 正常 的 程序 很 少 会 写 人 可 执行 文件 。 

(3) 病毒 程序 与 宿主 程序 切换 。 有 些 计算 机 病毒 在 传染 的 时 候 , 首 先 要 将 病毒 代码 植 
和 人 被 传染 的 程序 (也 称 宿主 ) 中 ,并 修改 宿主 程序 的 入 口 地 址 ,使 之 分 别 指向 病毒 的 感染 模块 
和 破坏 模块 。 这 样 当 宿主 程序 执行 时 ,病毒 代码 会 首先 执行 感染 和 破坏 功能 ,完成 后 再 将 程 
序 的 执行 权 交 给 宿主 程序 。 

(4) 截获 系统 操作 。 在 DOS 系统 下 ,病毒 通过 在 中 断 向 量 表 中 修改 INT 21H 的 入 口 
地 址 来 截获 DOS 系统 服务 。 Windows 下 的 病毒 则 使 用 钧 挂 系统 服务 的 方法 。 比 较 常见 的 
有 CIH 病毒 ,利用 IFSMGR. VXD 提供 的 一 个 系统 级 文件 钩子 来 截获 系统 中 所 有 文件 
操作 。 

行为 监测 法 的 优点 是 不 仅 可 以 检测 出 已 知 病毒 ,还 能 预报 未 知 病毒 ,与 校 验 和 法 一 样 都 
可 能 产生 误 报 ,但 准确 度 比 校 验 和 法 要 高 。 

4) 软件 模拟 法 

软件 模拟 法 专门 针对 多 态 性 病毒 ,多 态 性 病毒 在 每 次 传染 时 都 通过 加 密 变化 其 特征 码 ， 
使 得 计算 机 对 检测 对 象 扫描 时 查找 特定 字符 串 失败 。 软 件 模拟 技术 可 监视 病毒 运行 ,并 且 
在 其 设计 的 虚拟 计算 机 下 模拟 执行 病毒 的 解码 程序 ,将 病毒 密码 进行 破译 ,使 其 显露 出 真实 
面目 。 

软件 模拟 法 的 优点 是 可 以 较 有 效 地 对 付 通 过 加 密 进 行 变 形 的 病毒 ,但 是 实现 起 来 难度 
比较 大 。 

3. 清除 病毒 


计算 机 病毒 被 检测 出 类 型 后 ,要 立即 从 受 感染 的 文件 中 删除 所 有 的 病毒 并 恢复 正常 的 
程序 。 如 果 对 病毒 检测 成 功 但 鉴别 或 者 清除 没有 成 功 , 则 必须 删除 受 感染 的 文件 ,以 阻止 病 

病毒 的 清除 可 以 手工 进行 ,也 可 以 用 专用 杀毒 软件 。 无 论 采 用 哪 种 方式 ,都 是 一 种 危险 
的 操作 。 因 为 完全 将 病毒 代码 从 受 感染 的 程序 中 清除 而 不 破坏 原 有 的 程序 需要 很 高 的 技 
术 ,一 不 小 心 就 会 毁坏 原 有 的 程序 并 永久 不 能 恢复 该 程序 。 对 于 引导 型 病毒 ,由 于 其 攻击 部 
位 主要 在 Boot 扇 区 . 主 引导 区 或 FAT 表 , 这 种 情况 要 注意 不 同 区 的 重 写 问题 。 对 于 文件 型 
病毒 , 则 必须 仔细 识别 病毒 特征 代码 ,将 特征 代码 从 原 有 的 程序 中 清除 掉 。 但 有 时 ,文件 会 
遭 到 多 种 病毒 的 交叉 感染 ,清除 病毒 需要 更 高 的 技术 手段 。 


11.4.2 其 他 恶意 代码 的 防治 


除了 计算 机 病毒 外 ,其 他 恶意 代码 包括 蠕虫 .特洛伊 木马 `.Rootkit 僵尸 等 ,现在 大 部 
分 都 可 以 通过 防 病毒 技术 进行 查 杀 ,但 是 用 户 还 需要 掌握 基本 的 手工 清除 方法 。 里 虫 病 
毒 的 防治 方法 在 本 章 前 面 已 经 介绍 过 了 ,下 面 以 特洛伊 木马 为 例 , 介 绍 木 马 病毒 的 防治 
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对 策 。 

特洛伊 木马 入 侵 后 ,一 般 被 植 入 木马 的 计算 机 通常 的 表现 有 以 下 几 种 。 

(1) 磁盘 无 原因 地 被 读 取 , 网 络 连 接 出 现 异常 。 

(2) 正常 应 用 程序 的 图 标 被 修改 成 其 他 图 案 。 

(3) 启动 一 个 文件 ,没有 任何 反应 或 者 会 弹出 一 个 程序 出 错 的 对 话 框 ,如 弹出 一 个 对 话 
框 ,上 面 写 有 “文件 损坏 ,无 法 运行 "的 字样 。 

(4) 进程 中 出 现 类 似 于 系统 文件 名 的 进程 正在 运行 。 

(5) 在 没有 启动 任何 服务 的 情况 下 ,发 现 主机 上 有 不 常见 的 端口 处 于 被 监听 状态 。 

(6) 磁盘 剩余 空间 突然 缩减 , 且 缩 减 幅 度 较 大 ,如 突然 少 了 几 百 兆 空间 。 

(7) 浏览 器 自动 运行 ,并 且 固 定 访问 同一 个 异常 的 网 站 。 

(8) 在 运行 的 计算 机 上 ,突然 弹出 一 个 或 多 个 提示 框 。 

(9) 计算 机 系统 配置 自动 被 修改 ,如 日 期 时 间 设 置 . 屏 保 设置 等 。 

以 上 这 些 并 不 能 完全 描述 所 有 中 了 木马 病毒 的 计算 机 的 情况 ,没有 这 些 现象 也 并 不 表 
示 计 算 机 是 绝对 安全 的 。 检 查 是 否 存在 木马 需要 对 木马 入 侵 有 相当 高 的 警惕 性 以 及 较 多 的 
经 验 。 

用 户 通 常 使 用 360 安全 卫士 等 防 病毒 软件 对 木马 进行 查 杀 , 除 此 之 外 手动 检测 和 清除 
木马 病毒 的 基本 步骤 如 下 。 

(1) 断 开 网 络 。 

(2) 检查 进程 ,立即 杀 掉 可 疑 的 进程 。 

(3) 检查 注册 表 。 在 注册 表 及 与 系统 启动 有 关 的 文件 里 查找 木马 启动 文件 ,通常 木马 
会 在 注册 表 的 RUN、RUN SERVER、LOAD 等 项 下 加 入 键 值 ,使 其 能 在 系统 启动 时 自动 
加 入 。 

(4) 在 系统 中 找到 木马 文件 ,删除 文件 并 删除 注册 表 或 系统 启动 文件 中 关于 木马 的 


二 
下 
旺 


(5) 安全 处 理 。 更 改 用 户 名 和 密码 ,包括 登录 Network 的 用 户 名 、 密 码 .邮箱 和 QQ 密 
码 等 ,防止 黑客 已 经 在 上 次 入 侵 过 程 中 知道 了 你 的 密码 。 

当前 恶意 代码 的 发 展 出 现 了 融 传统 的 计算 机 病毒 .蠕虫 病毒 .特洛伊 木马 等 攻击 技 
术 于 一 体 的 趋势 ,攻击 手段 在 不 断 发 展 ,即使 是 最 先进 的 防范 技术 都 不 可 能 百分之百 地 
阻止 所 有 攻击 。 因 此 ,用 户 只 有 不 断 跟踪 技术 的 发 展 ,动态 地 进行 防护 和 管理 ,才能 获得 
相对 的 安全 。 


11.5 关键 术语 


恶意 代码 (Malicious Code) 
蠕虫 (Worm) 
特洛伊 木马 (Trojan Horse) 
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11.6 习 题 11 


计算 机 病毒 的 特征 有 哪些 ? 它 基 本 分 为 哪些 类 型 ? 

计算 机 病毒 的 结构 包括 哪些 模块 ?各 个 模块 是 如 何 工作 的 ? 
什么 是 蠕虫 病毒 ? 它 与 一 般 计算 机 病毒 之 间 的 联系 和 区 别 有 哪 些 ? 
什么 是 特洛伊 木马 病毒 ? 它 是 如 何 工作 的 ? 

计算 机 病毒 的 防治 措施 有 哪些 ?如 何 防 治 蠕虫 病毒 和 木马 ? 


第 12 章 无 线 网 络 安全 


本 章 导 读 


> 


本 章 主 要 介绍 无 线 网 络 的 概念 和 分 类 、 无 线 局 域 网 的 常用 术语 和 标准 、 无 线 网 络 的 
安全 威胁 和 安全 机 制 。 现 在 的 无 线 网 络 已 经 是 一 个 非常 成 熟 的 产业 ,但 是 无 线 网 络 
传输 是 利用 电磁 波 实现 的 ,电磁 波 在 空间 中 发 散 , 在 信号 履 盖 范围 内 的 所 有 终端 设 
备 都 可 以 接收 电磁 波 所 携带 的 信息 。 这 个 特点 使 得 无 线 网 络 与 有 线 网 络 相 比 ,传输 
的 信息 更 容易 被 窃取 , 带 来 很 多 安全 威胁 。 

根据 无 线 网 络 履 盖 范 围 、 传 输 速 率 和 用 途 的 差异 ,无线 网 络 大 体 可 分 为 无 线 广域网 、 
无 线 城 域 网 .无 线 局 域 网 和 无 线 个 人 区 域 网 。 

无 线 局 域 网 的 常见 标准 有 : IEEE 802. 11a, IEEE 802. 11b、IEEE 802. llg 和 IEEE 
802. 1ln。 

根据 无 线 网 络 的 特征 , 它 所 面临 的 威胁 包括 : 插入 攻击 、 漫 游 攻击 者 、 欺 诈 性 接 入 
点 、 双 面 恶 魔 攻击 、 窃 取 网 络 资源 对 无 线 通信 的 动 持 监视 等 。 

IEEE 802. 11 系列 是 无 线 局 域 网 的 标准 协议 ,常用 安全 机 制 有 WEP、WPA/WPA2 
以 及 我 国 自主 研发 的 WAPI 等 加 密 算法 和 认证 ,安装 个 人 防火 墙 . 更 改 网 络 接 入 的 
用 户 名 和 密码 、 隐 藏 SSID、MAC 地 址 过 滤 等 。 

IEEE 802. 16 是 无 线 城 域 网 的 标准 ,同时 也 是 继 TD-SCDMA、WCDMA 和 CDMA2000 
之 后 ,被 称 为 第 4 个 3G 标准 。 

IEEE 802. 20 是 无 线 广域网 的 标准 , 正 处 于 准 组 织 协商 阶段 ,技术 标准 还 未 通过 。 


无 线 技术 与 网 络 技术 的 结合 产生 了 所 谓 的 无 线 网 络 , 既 包括 允许 用 户 建立 远 距 离 无 线 
连接 的 全 球 语音 和 数据 网 络 ,也 包括 为 近 距 离 无 线 连接 进行 优化 的 红外 线 技术 及 射频 技术 。 
无 线 网 络 与 有 线 网 络 的 用 途 十 分 类 似 。 最 大 的 不 同 在 于 传输 媒介 的 不 同 , 利 用 无 线 电 技术 
取代 网 线 , 可 以 和 有 线 网 络 互 为 补充 和 扩展 。 作 为 一 种 新 的 技术 ,很 多 新 的 标准 层出不穷 ， 
无 线 网 络 的 安全 却 没有 得 到 足够 的 重视 。 对 于 有 线 网 络 , 用 户 计算 机 和 网 络 之 间 安 装 的 防 
火 墙 成 为 进入 网 络 的 唯一 接 入 点 ,大 多 数 的 入 侵 行为 很 容易 会 被 阻止 。 然 而 ,无 线 网 络 是 通 
过 空中 电波 传播 信息 , 接 和 人 点 围绕 着 整个 用 户 计 算 机 ,各 种 威胁 也 就 随 之 而 来 ,如 数据 被 窃 
听 、 信 息 被 算 改 等 。 


12.1 无 线 网 络 基础 


随 着 计算 机 硬件 的 不 断 发 展 、. 新 技术 和 新 产品 不 断 涌现 ,以 前 让 人 还 不 可 及 的 无 线 网 络 
技术 如 今 已 经 变 得 唾 手 可 得 。 现 在 的 无 线 网 络 已 经 是 一 个 非常 成 熟 的 产业 。 从 基础 设施 的 
建设 到 软 硬 件 的 流行 和 繁荣 ,无 线 生 活 已 经 不 再 是 一 个 梦想 ,随处 可 见 无 线 网 络 的 影子 。 比 
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如 说 经 常 在 咖啡 店 或 者 车 上 看 到 使 用 iPhone,iPad 或 者 笔记 本 进行 QQ 聊天 和 微 博 互动 的 
人 ,在 家 里 使 用 多 个 笔记 本 计算 机 时 ,也 不 用 考虑 如 何 让 电缆 穿梭 墙壁 和 地 面 ,无线 网 络 能 
够 将 屋子 里 的 每 台 计 算 机 都 连接 起 来 。 

很 多 无 线 设备 几乎 都 是 即 插 即 用 的 ,为 用 户 提供 了 方便 ,具有 很 好 的 灵活 性 。 但 事实 
上 ,它们 并 没有 看 上 去 那么 简单 ,无 线 通信 的 本 性 使 得 在 空中 传播 的 数据 天 生 就 是 不 安全 
的 。 与 传统 有 线 网 络 相 比 ,在 无 线 标准 、 安 全 机 制 、 安 全 漏洞 方面 存在 着 先天 的 不 足 , 因 此 存 
在 着 更 多 的 不 安全 因素 。 


12.1.1 无 线 网 络 的 分 类 


根据 网 络 覆 盖 范 围 ,传输 速率 和 用 途 的 差异 ,无 线 网 络 大 体 可 分 为 无 线 广域网 .无线 城 
域 网 .无线 局 域 网 和 无 线 个 人 区 域 网 。 

1. 无 线 广 域 网 (Wireless Wide Area Network ,.WWAN) 

无 线 广域网 是 采用 无 线 网 络 把 物理 距离 极为 分 散 的 局 域 网 (LAN) 连 接 起 来 的 通信 方 
式 。WWAN 连接 地 理 范 围 较 大 ,常常 是 一 个 国家 或 是 一 个 洲 。 其 目的 是 为 了 让 分 布 较 远 
的 各 局 域 网 互 连 , 它 的 结构 分 为 末端 系统 (两 端的 用 户 集合 ) 和 通信 系统 (中 间 链 路 ) 两 部 分 。 
IEEE 802. 20 是 WWAN 的 重要 标准 。IEEE 802. 20 是 由 IEEE 802. 16 工作 组 于 2002 年 3 
月 提出 的 ,并 为 此 成 立 专门 的 IEEE 802. 20 工作 小 组 。IEEE 802. 20 是 为 了 实现 高 速 移动 
环境 下 的 高 速率 数据 传输 ,以 弥补 IEEE 802. 1x 协议 族 在 移动 性 上 的 劣势 。IEEE 802. 20 
技术 可 以 有 效 解决 移动 性 与 传输 速率 相互 矛盾 的 问题 , 它 是 一 种 适用 于 高 速 移动 环境 下 的 
宽带 无 线 接 人 系统 空中 接口 规范 。 

2. 无 线 城 域 网 (Wireless Metropolitan Area Network ,WMAN) 

无 线 城 域 网 主要 通过 移动 电话 或 车 载 装置 进行 移动 数据 通信 ,可 覆盖 城市 中 的 大 部 分 地 
区 。 代 表 技 术 是 IEEE 802. 16 标准 体系 ,主要 有 IEEE 802. 16 IEEE 802. 16a IEEE 802. 16e 
等 。 其 中 IEEE 802. 16 针对 一 点 对 多 点 ,IEEE 802. 16a 是 它 的 补充 ,增加 了 对 非 视 距 
(None Line of Sight, NLoS) 和 网 状 结构 (Mesh Mode) 的 支持 ,IEEE 802. 16e 支持 在 2 一 11GHz 
频段 下 的 固定 和 车 速 移动 业务 ,并 支持 基站 和 扇 区 间 的 切换 。 

3. 无 线 局 域 网 (Wireless Local Area Network,WLAN) 

无 线 局 域 网 覆盖 范围 较 小 。 数 据 传输 速率 为 11 一 56Mbps 之 间 ( 甚 至 更 高 )。 无 线 连接 距 
离 在 50 一 100m。 代 表 技 术 是 IEEE 802. 11 系列 ,以 及 Home RF 技术 。IEEE 802. 11 标准 系列 
包含 IEEE 802. 11b IEEE 802. 11a 和 IEEE 802. 11g 三 个 WLAN 标准 ,主要 用 于 解决 办 公 
室 局 域 网 和 校园 网 中 用 户 终 端的 无 线 接 入 。 

4. 无 线 个 人 区 域 网 (Wireless Personal Area Network, WPAN) 

无 线 个 人 区 域 网 通常 指 个 人 计算 (Personal Computing) 中 无 线 设备 间 的 网 络 。 无 线 传 
输 距 离 一 般 在 10m 左右 ,代表 技术 是 IEEE 802. 15 .蓝牙 等 技术 ,数据 传输 速率 在 10Mbps 
以 上 。 例 如 蓝牙 工作 在 2. 4GHz 频段 ,可 实现 低 成 本 ` 短 距离 无 线 通信 ,在 10m 范围 内 可 提 
供 721Kbps 的 异步 最 大 通信 速率 ,并 可 最 多 同时 和 7 个 其 他 蓝牙 设备 进行 通信 。IEEE 802. 15 
还 可 用 于 无 线 传感器 网 络 (Wireless Sensor Networks) 中 传感器 点 间 的 通信 。 
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12.1.2 无 线 局 域 网 常用 术语 


1. WLAN 

WLAN 是 无 线 局 域 网 的 英文 简称 。 狭 义 上 讲 , WLAN 指 的 是 基于 IEEE 802. 11b、 
IEEE 802. 11a IEEE 802. 11g 和 IEEE 802. 11i 的 无 线 网 络 。 

2. Wi-Fi 


凡 使 用 IEEE 802. 11 标准 协议 的 局 域 网 又 称 为 Wi-Fi( Wireless-Fidelity ,无 线 保 真 度 ) 。 
因此 ,Wi-Fi 几乎 成 为 了 无 线 局 域 网 的 同义词 。 
3. SSID(Service Set Identifier) 


SSID 服务 配置 标识 符 是 无 线 AP(Access Point, 接 入 点 ) 或 无 线路 由 器 的 标识 符 。 
SSID 用 来 区 分 不 同 的 网 络 , 最 多 可 以 有 32 个 字符 。 无 线 网 卡 设置 了 不 同 的 SSID 就 可 以 进 
入 不 同 网 络 ,SSID 通常 由 AP 广播 出 来 ,通过 XP 自 带 的 扫描 功能 可 以 查看 当前 区 域内 的 
SSID。 出 于 安全 考虑 可 以 不 广播 SSID, 此 时 用 户 就 要 手工 设置 SSID 才能 进入 相应 的 网 
络 。 简 单 说 ,SSID 就 是 一 个 局 域 网 的 名 称 , 只 有 设置 为 名 称 相 同 SSID 的 值 的 计算 机 才能 
互相 通信 。 


12.1.3 无 线 局 域 网 常用 标准 


无 线 网 络 的 常见 标准 有 以 下 几 种 : 

。 IEEE 802. 11a: 使 用 5GHz 频段 ,传输 速度 54Mbps, 与 IEEE 802. 11b 不 兼容 。 

。 IEEE 802. 11b: 使 用 2. 4GHz 频段 ,传输 速度 11Mbps。 

。 IEEE 802. 11g: 使 用 2. 4GHz 频段 ,传输 速度 主要 有 54Mbps、108Mbps, 可 向 下 兼 
容 IEEE 802. 11b。 

IEEE 802. 11n 草案 : 使 用 2. 4G Hz 频段 ,传输 速度 可 达 300Mbps, 目 前 标准 尚 为 草 
案 , 但 产品 已 层出不穷 。 


目前 IEEE 802. 11b 最 常用 ,但 IEEE 802. 11g 更 具 下 一 代 标 准 的 实力 ,IEEE 802. 11n 
也 在 快速 发 展 中 。IEEE 802. 11b 标准 含有 确保 访问 控制 和 加 密 的 两 个 部 分 ,这 两 个 部 分 必 
须 在 无 线 局 域 网 中 的 每 个 设备 上 配置 。 拥 有 成 百 上 千 台 无 线 局 域 网 用 户 的 公司 需要 可 靠 的 安 
全 解决 方案 ,可 以 从 一 个 控制 中 心 进行 有 效 的 管理 。 缺 乏 集中 的 安全 控制 是 无 线 局 域 网 只 在 
一 些 相 对 较 小 的 公司 和 特定 应 用 中 得 到 使 用 的 根本 原因 。IEEE 802. 11b 标准 定义 了 两 种 机 
制 来 提供 无 线 局 域 网 的 访问 控制 和 保密 : 服务 配置 标识 符 (SSID) 和 有 线 等 效 保密 (WEP)。 
还 有 一 种 加 密 的 机 制 是 通过 透明 运行 在 无 线 局 域 网 上 的 虚拟 专 网 (VPN) 来 进行 的 。 


12.2 无 线 网 络 面 临 的 安全 威胁 


无 线 网 络 安全 并 不 是 一 个 新 的 问题 , 早 在 有 线 网 络 蓬勃 发 展 时 期 ,网 络 安全 就 是 一 个 很 
重要 的 议题 。 新 的 安全 漏洞 不 断 地 被 人 们 发 现 , 新 的 病毒 .木马 和 蠕虫 不 断 涌现 。 根 据 无 线 
网 络 的 特征 , 它 所 面临 的 威胁 也 是 独特 的 ,包括 以 下 内 容 。 
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1. 插入 攻击 

插入 攻击 以 部 署 非 授 权 的 设备 或 创建 新 的 无 线 网 络 为 基础 ,这 种 部 署 或 创建 往往 没有 
经 过 安全 过 程 或 安全 检查 ,就 对 接 入 点 进行 配置 ,要 求 客 户 端 接 入 时 输入 密码 。 如 果 不 设 置 
密码 ,又 或 者 使 用 设备 的 默认 用 户 名 和 默认 密码 。 入 侵 者 就 可 以 通过 启用 一 个 无 线 客户 端 
与 接 入 点 通信 ,从 而 连接 到 内 部 网 络 。 

2. 漫游 攻击 者 

攻击 者 没有 必要 在 物理 上 位 于 被 攻击 者 的 建筑 物 内 部 ,他 们 可 以 使 用 网 络 嗅 探 器 ,如 
Sniffer、Kismet 等 工具 ,捕获 网 络 上 传送 的 数据 包 。 通 过 捕获 的 数据 包 分 析 敏 感 数 据 ,如 用 
户 名 、 密 码 等 。 漫 游 攻 击 者 利用 无 线 终端 的 移动 性 ,有 时 使 用 一 些 诱骗 工具 中 断 无 线 通 信 ， 
使 用 户 计 算 机 强制 断 开 无 线 网 络 ,接着 将 弹出 一 个 虚假 的 登录 网 页 ,吸引 用 户 重新 输入 自己 
的 用 户 名 和 密码 。 

3. 欺诈 性 接 入 点 

所 谓 欺诈 性 接 入 点 是 指 在 未 获得 无 线 网 络 所 有 者 的 许可 或 者 在 无 线 网 络 所 有 者 不 知晓 
的 情况 下 ,就 设置 存在 的 接 入 点 。 客 户 端 可 能 在 未 觉察 的 情况 下 连接 到 该 接 入 点 ,并 泄露 机 
密 认证 消息 。 一 些 公司 员工 有 时 安装 欺诈 性 接 入 点 ,其 目的 是 为 了 避 开 公司 已 安装 的 安全 
手段 ,创建 隐蔽 的 无 线 网 络 。 这 种 秘密 网 络 虽然 基本 上 无 害 , 但 它 却 可 以 构造 出 一 个 无 保护 
措施 的 网 络 , 并 进而 充当 了 入 侵 者 进入 企业 网 络 的 开放 门户 。 

4. 双 面 恶魔 攻击 

这 种 攻击 有 时 也 被 称 为 "无线 钓 鱼 ", 双 面 恶魔 其 实 就 是 一 个 以 邻近 的 网 络 名 称 隐 项 起 
来 的 欺诈 性 接 和 人 点。 黑客 通过 非法 手段 获取 邻近 无 线 网 络 的 密 钥 ,之 后 在 目标 无 线 网 络 附 
近 架 设 一 台 相同 或 近似 SSID 的 接 和 人 点 伪造 目标 无 线 网 络 。 由 于 采用 了 相同 的 SSID 和 网 
络 密 钥 , 对 用 户 来 说 基本 上 难 辨 真 伪 , 双 面 恶魔 等 待 着 一 些 盲目 信任 的 用 户 进 入 错误 的 接 入 
点 ,然后 窃取 个 别 网 络 的 数据 或 攻击 计算 机 。 

5. 窃取 网 络 资源 

有 些 用 户 喜欢 从 邻近 的 无 线 网 络 访问 Internet, 即 使 他 们 没有 什么 恶意 企图 ,但 仍 会 占 
用 大 量 的 网 络 带宽 ,严重 影响 网 络 性 能 。 而 更 多 的 不 速 之 客 会 利用 这 种 连接 来 连接 到 
Internet, 实 施 非法 下 载 行为 或 进行 违法 操作 。 

6. 对 无 线 通信 的 支持 和 监视 

和 有 线 网 络 一 样 ,支持 和 监视 通过 无 线 网 络 的 网 络 通 信和 是 完全 可 能 的 。 它 包括 两 种 情 
况 , 一 是 无 线 数据 包 分 析 , 即 熟练 的 攻击 者 用 类 似 于 有 线 网 络 的 技术 捕捉 无 线 通 信 信 息 。 
其 中 有 许多 工具 可 以 捕获 连接 会 话 的 最 初 部 分 ,而 其 数据 一 般 会 包含 用 户 名 和 密码 。 攻 
击 者 然后 就 可 以 用 所 捕获 的 信息 来 冒 称 一 个 合法 用 户 ,并 劫持 用 户 会 话 和 执行 一 些 未 被 
授权 的 命令 等 。 第 2 种 情况 是 广播 包 监 视 , 这 种 监视 依赖 于 集线器 ,而 集线器 现在 趋 于 
被 淘汰 ,所 以 第 2 种 情况 是 很 少见 的 。 

当然 ,还 有 其 他 一 些 威胁 ,如 客户 端 对 客户 端的 攻击 (包括 拒绝 服务 攻击 ) 、 缓 冲 区 溢出 、 
干扰 、 攻 击 Web 表单 .DNS 欺骗 .错误 的 配置 等 ,这 些 都 属于 无 线 网 络 风险 的 因素 。 
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12.3 无 线 网 络 安全 解决 方案 


无 线 网 络 现在 已 经 深入 到 人 们 的 工作 和 学 习 中 , 它 具 有 可 移动 性 好 、 安 装 简便 、 高 灵活 
性 和 强 扩展 能 力 等 优点 ,给 人 们 的 生活 带 来 了 极 大 方便 。 但 是 无 线 网 络 传输 是 利用 电磁 波 
实现 的 ,电磁 波 在 空间 中 是 发 散 的 ,在 信号 覆盖 范围 内 的 所 有 终端 设备 都 可 以 接收 电磁 波 所 
携带 的 信息 。 这 个 特点 使 得 无 线 网 络 与 有 线 网 络 相 比 ,传输 的 信息 更 容易 被 窃取 , 带 来 不 可 
预知 的 后 果 。 这 就 需要 一 些 安全 措施 使 其 他 用 户 无 法 连接 到 自身 所 在 的 无 线 网 络 并 访问 系 
统 或 入 侵 用 户 的 Internet 连接 供 他 们 使 用 。 本 节 主 要 介绍 无 线 局 域 网 的 安全 解决 方案 。 


12.3.1 无 线 局 域 网 的 安全 性 


IEEE 802. 11 是 无 线 局 域 网 的 标准 协议 , 它 采 用 了 RC4 流 加 密 算 法 的 有 线 等 效 保密 协 
议 (Wired Equivalency Privacy, WEP) 以 保证 数据 在 无 线 环境 下 的 安全 。 但 是 , WEP 协议 
并 没有 达到 人 们 期 望 的 安全 水 平 ,WEP 本 身 存 在 致命 的 安全 漏洞 ,这 为 各 种 算 改 数据 的 主 
动 攻 击 和 从 听 数据 的 被 动 攻击 提供 了 方便 。WPA(Wi-Fi Protected Access) 标 准 专门 对 
WEP 协议 的 不 足 之 处 进行 了 有 针对 性 的 改进 ,对 于 未 来 的 IEEE 802. 11i 标准 和 现 有 的 
WEP 都 具有 兼容 性 。WPA 标准 成 为 IEEE 802. 11i 标准 发 布 以 前 无 线 局 域 网 安全 采用 的 
过 渡 方案 。 

1. WEP 

IEEE 802. 11b 标准 提供 的 加 密 协 议 WEP 是 最 早 在 无 线 加 密 中 使 用 的 技术 。 该 协议 
使 用 RC4 流 加 密 算法 保证 数据 机 密 性 ,能 够 防止 没有 WEP 密 钥 的 非法 用 户 访问 网 络 ,通过 
加 密 手 段 保护 无 线 局 域 网 上 传输 的 数据 。WEP 密 钥 有 两 种 ,一 种 是 64 位 密 钥 ,另外 一 种 是 
128 位 密 钥 。64 位 密 钥 WEP 是 将 40 位 密 钥 和 24 位 的 初始 向 量 (Initialization Vector'IV) 
结合 在 一 起 使 用 ,128 位 密 钥 则 使 用 104 位 的 密 钥 和 24 位 的 IV。IV 的 主要 作用 是 解决 固 
定 密 钥 容易 被 攻击 者 识破 的 问题 ,加 上 IV 后 ,由 于 它 的 值 总 是 变化 ,即使 相同 的 明文 ,加 密 
后 的 密 文 也 是 不 一 样 的 ,这 样 可 以 增加 安全 性 。 下 面 以 64 位 密 钥 的 WEP 为 例 ,简单 介绍 
一 下 WEP 加 密 和 解密 的 过 程 。 

1) WEP 加 密 过 程 

WEP 在 加 密 过 程 中 ,采用 两 种 方式 对 明文 数据 进行 处 理 。 第 一 种 方式 是 对 明文 进行 的 
流 加 密 运算 ( 即 异 或 运算 ); 第 二 种 方式 是 为 防止 数据 被 非法 算 改 而 进行 的 数据 完整 性 检查 
向 量 (ICV, 占 4 个 字 节 ) 运 算 。 

首先 ,将 40 位 的 加 密 密 钥 与 24 位 的 初始 向 量 IV 结合 在 一 起 ,形成 64 位 密 钥 。 

其 次 ,64 位 密 钥 被 输入 到 伪 随 机 数 生成 器 中 , 伪 随 机 数 生成 器 会 输出 一 个 伪 随 机 密 钥 
序列 。 

最 后 , 伪 随 机 密 钥 系列 会 与 处 理 过 的 明文 进行 异 或 运算 ,形成 密 文 。 

为 了 防止 数据 被 自 改 ,明文 会 经 过 CRC-32 校 验 ,生成 32 位 的 ICV。 明 文 与 形成 的 32 
位 ICV 合并 后 再 被 密 钥 加 密 , 密 文 会 与 IV 一 起 被 传输 到 目的 地 。WEP 加 密 的 过 程 如 
图 12.1 所 示 。 
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初始 向 量 V 一 =[ 合 | | 多 此 | | 俩 随机 
密 胃 一 | 并 | |, 可 数 “| 密 钢 应 列 


明文 一 


合 
并 


Cw CRC-32|- ICV 广 一 


图 12.1 WEP 加 密 过 程 


2) WEP 解密 过 程 

WEP 解密 的 过 程 非常 简单 ,如 图 12. 2 所 示 。 首 先 , 接 收 到 的 24 位 IV 与 40 位 加 密 密 
钥 用 来 产生 密 钥 序列 ,然后 密 文 与 密 钥 序 列 异 或 运算 后 产生 明文 和 ICV, 明 文通 过 数据 完整 
性 算法 产生 ICV' ,比较 ICV 和 ICV', 如 果 一 致 , 则 明文 是 正确 的 ,否则 ,将 错误 信息 发 送 给 
发 送 方 。 


合 | ,| WBE | 
生成 器 上- 密 钥 序 列 


Vl 中 


明文 Ses 
[cv 


kt| -下 cgcs> 上 |- 
较 | | rcv 


12.2 ”WEP 解密 过 程 

3) WEP 认证 方法 

无 线 客户 端 接 入 到 网 络 首先 需要 经 过 认证 ,如 果 没 有 认证 则 无 法 接 入 无 线 局 域 网络 。 
IEEE 802. 11b 标准 定义 了 两 种 认证 方法 : 开放 式 认 证 和 共享 密 钥 认证 。 

开放 式 认证 是 对 请 求 认证 的 任何 人 提供 认证 。 整 个 认证 过 程 通过 明文 传输 完成 ,即使 
某 个 客户 端 无 法 提供 正确 的 WEP 密 钥 , 也 能 与 接 入 点 建立 联系 。 这 种 开放 式 认证 一 般 是 
基于 设备 的 ,如 无 线 网 卡 等 的 认证 ,而 不 是 基于 用 户 的 ， 


mn waE 
任何 非法 用 户 只 要 得 到 可 以 使 用 的 合法 设备 ,就 可 以 合 ”epi ea 
法 地 使 用 全 部 的 资源 ,因此 可 能 对 网 络 安全 造成 很 大 的 主机 va 楼 入 点 
让 让 寺 
威胁 。 | 


共享 密 钥 认证 要 求 认证 两 端 具有 相同 的 共享 密 钥 或 抠 战 

密码 。 该 认证 方式 采用 标准 的 挑战 /响应 机 制 ,允许 移动 
客户 端 使 用 一 个 共享 密 钥 加 密 数 据 。WEP 允许 管理 员 Re 
定义 共享 密 钥 ,没有 此 密 钥 的 用 户 将 被 拒绝 访问 . 认证 上- | 
过 程 如 图 12.3 所 示 。 图 12.3 ”WEP 共享 密 钥 认证 过 程 


响应 
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客户 端 首 先 向 接 入 点 发 送 认 证 请 求 , 接 入 点 会 随机 产生 一 个 挑战 包 ( 即 一 个 字符 串 ) 发 
送 给 客户 端 ; 客户 端 将 接收 到 的 字符 串 复制 到 新 的 消息 中 ,用 WEP 共享 密 钥 加 密 后 再 发 送 
回 接 入 点 ; 接 入 点 收 到 消息 后 ,用 共享 密 钥 解密 ,比较 解密 后 的 字符 串 是 否 与 最 初 发 送 给 客 
户 端的 字符 串 一 致 。 阁 一致, 则 认证 成 功 ,否则 失败 。 

4) WEP 安全 漏洞 

在 数据 加 密 方面 ,WEP 是 基于 RC4 的 流 加 密 算法 。RC4 算法 的 密 钥 空间 中 存在 大 量 
的 弱 密 钥 ,这 就 使 在 使 用 密 钥 作为 RC4 算法 的 输入 时 ,生成 的 密 钥 序 列 中 有 相当 一 部 分 序 
列 位 只 由 弱 密 钥 的 少数 比特 位 决定 ,攻击 者 可 以 利用 这 个 规律 降低 破解 密 钥 的 难度 。RC4 
算法 中 密 钥 序列 的 生成 过 于 简单 ,只 是 由 加 密 密 钥 和 IV 串联 而 成 ,这 种 不 加 变化 地 使 用 加 
密 密 钥 ,大 大 增加 了 加 密 密 钥 被 破解 的 可 能 性 。 此 外 ,24 位 的 IV 以 明文 传送 ,攻击 者 利用 
这 个 特点 很 容易 破译 出 密 文 。 

在 数据 完整 性 保护 方面 ,WEP 使 用 CRC-32 校 验 。 由 于 CRC 是 线性 运算 ,所 以 攻击 者 
利用 这 个 特点 在 修改 数据 包 的 同时 修改 相应 的 CRC 位 ,从 而 轻易 地 通过 检查 。 因 此 WEP 
无 法 有 效 防止 算 改 攻击 和 消息 伪造 等 问题 。 

在 身份 认证 方面 ,一 般 将 WEP 的 共享 密 钥 作为 用 户 身 份 认 证 的 密码 。 但 是 这 种 简单 
的 身份 认证 方式 是 基于 硬件 的 、. 单 向 的 ,很 容易 受到 硬件 威胁 和 拒绝 服务 攻击 的 危险 。 

2. WPA 

WEP 本 身 存在 着 诸多 缺陷 ,无 线 技术 已 经 发 展 到 新 一 代 的 WPA (Wi-Fi Protected 
Access) 加 密 ,WPA 加 密 技术 比 WEP 技术 更 有 优势 ,但 仍 可 以 兼容 使 用 WEP 的 设备 。 为 
了 使 用 WPA, 在 网 络 上 的 所 有 设备 必须 具有 WPA 能 力 。 如 果 设 备 使 用 的 是 WEP 的 配置 ， 
该 网 络 将 无 法 使 用 一 些 改进 的 防范 措施 ,网 络 仍然 比较 容易 受到 攻击 。WPA 与 WEP 的 比 
较 如 表 12. 1 所 示 。 
表 12.1 WPA 与 WEP 比较 

参 数 WEP WAP 
数据 完整 性 保护 “| 32 位 的 CRC 信息 完整 性 代码 (MIC,Michael) 

40 位 的 共享 密 钥 ,24 位 的 初始 向 量 | 128 位 加 密 密 钥 ,64 位 认证 密 钥 ,48 位 初 
RC4 加 密 算法 IV., 密 钥 是 由 加 密 密 钥 与 IV 串联 而 | 始 化 向 量 IV, 密 钥 混合 方式 生产 ,IV 序列 


成 ,没有 防止 重 放 攻 击 抵御 重 放 攻击 
认证 管理 共享 密 钥 认证 EAP 十 802. 1x 


WPA 一 般 由 用 户 认 证 、 密 钥 管理 .数据 完整 性 保证 3 个 部 分 构成 ,其 加 密 方式 决定 了 
它 比 WEP 更 难 入 侵 。IEEE 802. 11i 标准 规定 使 用 IEEE 802. 1x 的 认证 和 密 钥 管理 方式 ， 
在 数据 加 密 方 面 , WPA 使 用 临时 密 钥 完整 性 协议 (Temporal Key Integrity Protocol， 
TKIP)。TKIP 与 WEP 一 样 采用 RC4 作为 核心 加 密 算法 ,可 以 从 WEP 上 平滑 升级 ,但 是 
密 钥 位 数 不 再 使 用 40 位 而 是 128 位 ,IV 的 长 度 也 由 24 位 扩展 到 48 位 。 同 时 ,TKIP 采用 
动态 生成 以 及 通过 认证 服务 器 分 配 的 多 组 密 钥 取代 了 WEP 的 单一 静态 密 钥 , 并 增加 了 密 
钥 首 部 长 度 来 确保 安全 性 。 

1) TKIP 加 密 原 理 

TKIP 算法 的 加 密 过 程 如 图 12.4 所 示 ,包括 以 下 几 个 步骤 。 
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(1) 利用 MAC 服务 数据 单元 MSDU(MAC Service Data Unit) 的 明文 数据 ,MSDU 的 
源 地 址 、 目 标 地 址 和 临时 完整 性 校 验 密 钥 来 计算 该 MSDU 的 消息 完整 性 校 验 码 (MIC) ,并 
以 此 来 取代 RC4 算法 中 的 ICV ,将 计算 出 的 MIC 值 (8 个 字 节 ) 追 加 到 MSDU 上 。 其 中 ， 
MIC 的 生成 是 通过 Michael 的 单 向 杂凑 函数 生成 ,而 不 是 使 用 WEP 生成 数据 完整 性 检查 
向 量 ICV 时 使 用 的 简单 CRC-32 函数 ,这 能 够 抵御 消息 伪造 攻击 。 

(2) 按照 实际 需要 ,将 带 有 MIC 的 MSDU 明文 数据 报 进行 分 片 ,形成 一 个 或 多 个 
MPDU; 考虑 到 同一 个 MSDU 生成 的 所 有 MPDU 使 用 来 自 同一 计数 空间 的 相同 的 计数 器 
值 ,TKIP 为 每 个 MPDU 分 配 了 一 个 单 增 的 TSCCTKIP Sequence Counter) 值 ,以 防止 重 放 
攻击 。 


中 间 密 钥 RC4 密 钥 

临时 密 钥 一 | 第 一 阶段 第 二 阶段 |WEP 种 子 一 一 一 | 

发 送 方 地 址 一 一 | 密 钥 混合 六 一 | 密 钥 混合 | 
WEP 初 始 密 文 
TSC 序 列 号 | 一 人 wePh 密 | 之 

re i a 封装 

整 性 校 验 密 钥 
| 一 完整 性 | 明文 MSDU 数据 | 明文 MPDU 
源 地 址 + 目的 地 址 校 验 [4MIC 分 片 (N) ee 

+ 明文 MSDU 


12.4 TKIP 加 密 过 程 


(3) 对 于 每 一 个 MPDU, 由 临时 密 钥 、 发 送 方 MAC 地 址 和 TSC 使 用 两 级 密 钥 杂凑 也 
数 来 计算 WEP 种 子 密 钥 。 

(4) 采用 WEP 种 子 密 钥 长 度 为 128 位 ,被 分 成 104 位 的 RC4 加 密 密 钥 和 24 位 的 
WEP 初始 向 量 , MPDU 明文 数据 作为 RC4 算法 的 明文 数据 ,将 MPDU 及 其 WEP 种 子 密 
钥 送 入 WEP 加 和 密 引擎 进行 加 密 , 最 后 生成 MPDU 密 文 数据 进行 无 线 传输 。 

2) TKIP 解密 过 程 

为 收 到 的 密 文 数据 报 剔 除 MAC 首部 ,进行 IV 解析 ,根据 解析 的 IV 再 进行 TSC 窗口 
校 验 ,确保 它 比 先前 收 到 的 数据 报 的 TSC 大 ,以 防止 重 放 攻击 。 通 过 校 验 后 ,解密 也 要 进行 
密 钥 混合 运算 (与 加 密 过 程 相 同 ) ,混合 后 进行 解密 ,解密 过 程 中 要 检查 ICV ,只 要 发 现 错误 ， 
就 要 丢弃 该 数据 报 , 只 有 通过 校 验 解 密 才 能 完成 。 解 密 后 进行 分 片 重组 ,重组 后 对 生成 的 消 
息 完整 性 代码 (MIC) 进 行 校 验 , 接 收 方 将 生成 的 MIC 与 接收 到 的 MIC 进行 比较 ,以 确保 数 
据 报 没 有 被 算 改 ,最 后 通过 校 验 的 数据 包 删 除 MIC, 得 到 明文 。 

3) WPA 协议 实现 的 安全 策略 

WPA 协议 中 的 TKIP 算法 是 目前 无 线 局 域 网 中 比 WEP 更 加 安全 的 一 个 算法 ,所 采用 
的 安全 策略 可 总 结 如 下 : 

。 采用 Michael 的 消息 完整 性 代码 MIC 来 防止 自 改 攻击 。 

。 采用 新 的 序号 规则 (TSC) ,防止 重 放 攻 击 。 

。 对 各 数据 包 采 用 不 同 密 钥 加 密 ,避免 弱 密 钥 。 

。 采用 密 钥 更 新 机 制 , 及 时 提供 全 新 的 加 密 密 钥 和 完整 性 校 验 密 钥 ,防止 密 钥 重 用 带 

来 的 安全 威胁 。 
4) WPA 数据 完整 性 保护 
WAP 采用 信息 完整 性 代码 (Message Integrity Code,MIC) 来 防止 人 侵 者 获取 并 修改 
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数据 包 ,能 够 鉴别 一 条 信息 的 完整 性 。MIC 机 制 要 求 发 送 者 和 接受 者 都 进行 计算 并 要 对 
MIC 值 进行 比较 ,如 果 相 等 则 认为 没有 被 改动 过 ,一 旦 不 一 致 ,就 认为 数据 被 修改 过 了 , 则 
将 此 数据 包 丢 弃 , 从 而 保护 数据 的 完整 性 。WPA 中 MIC 的 实现 可 以 防止 算 改 攻击 ,MIC 
可 以 通过 软件 实现 。 

5) WPA 认证 方法 

WPA 的 认证 分 为 两 种 。 第 一 种 认证 方法 是 采用 802. 1x 十 EAP 的 方式 ,用 户 提 供认 证 
所 需 的 凭证 ,如 用 户 密码 ,通过 特定 的 认证 服务 器 (一 般 是 RADIUS 服务 器 ) 来 实现 。 在 大 
中 型 企业 中 ,通常 使 用 这 种 方式 。 但 对 于 小 型 企业 网 络 或 家 庭 用 户 来 说 ,架设 一 台 专 用 的 认 
证 服务 器 未 免 代价 过 于 昂贵 ,因此 WPA 提供 了 一 种 简化 模式 WPA-PSK , 它 不 需要 专门 的 
认证 服务 器 ,采用 预 共享 密 钥 的 方式 ,在 连接 AP 之 前 输入 一 个 密码 进行 验证 ,这 就 是 第 二 
种 认证 方法 。 当 然 这 个 密码 仅仅 是 认证 时 的 密码 , 它 和 真正 对 数据 加 密 采 用 的 密码 是 不 同 
的 ,数据 加 密 的 密 钥 是 在 认证 后 动态 生成 的 。 

3. WPA2 

WPA2 是 经 由 Wi-Fi 联盟 认证 过 的 IEEE 802. 11i 标准 的 认证 形式 。 在 WPA2 中 MIC 
被 公认 彻底 安全 的 计数 器 模式 和 密 文 分 组 链接 一 一 消息 认证 码 协议 (Counter CBC-MAC 
Protocol,CCMP) 一 一 所 取代 。 计 数 器 模式 保证 了 数据 的 私密 性 ,而 密 文 分 组 链接 一 一 消息 
认证 码 模式 一 一 保证 了 数据 的 完整 性 和 认证 性 。WPA 中 的 加 密 算法 RC4 也 被 AES 加 密 
算法 取代 ,WPA2 是 目前 公认 最 为 成 熟 的 WLAN 安全 技术 。 但 有 些 旧 设 备 可 能 不 支持 
WAP2, 因 此 对 设备 硬件 进行 升级 是 保障 WLAN 安全 的 一 个 重要 办 法 。 

4. WAPI 标 准 简介 

WAPI(WLAN Authentication and Privacy Infrastructure) 是 我 国 自 主 研发 .拥有 自主 
知识 产权 的 无 线 局 域 网 安全 技术 标准 ,由 ISO/IEC 授权 的 IEEE Registration Authority 审 
查 并 获得 认可 。WAPI 与 现行 的 IEEE 802. 11b 传输 协议 比较 相近 ,区 别 是 所 采用 的 安全 
加 密 技术 不 同 : WAPI 采用 无 线 局 域 网 认证 与 保密 基础 架构 的 安全 协议 ,而 IEEE 802. 11b 
则 采用 WEP 协议 。 

WAPI 安全 机 制 由 WAI 和 WPI 两 部 分 组 成 ,(WAI 负责 认证 及 密 钥 管理 , WPI 实现 数 
据 传输 保护 功能 。WAPI 是 中 国 无 线 局 域 网 安全 强制 性 标准 , 它 的 安全 系统 采用 公 钥 密码 
技术 ,认证 服务 器 AS 负责 证 书 的 颁发 验证 与 吊销 等 ,无 线 客户 端 与 无 线 接 入 点 AP 上 都 
安装 有 AS 颁发 的 公 钥 证 书 ,作为 自己 的 数字 身份 凭证 。 当 无 线 客户 端 登录 至 无 线 接 入 点 
AP 时 ,在 访问 网 络 之 前 必须 通过 认证 服务 器 AS 对 双方 进行 身份 验证 。 根 据 验 证 的 结果 ， 
持 有 合法 证 书 的 移动 终端 才能 接 人 持 有 合法 证 书 的 无 线 接 人 点 AP。 


12.3.2 无 线 局 域 网 的 其 他 安全 措施 


1. 安装 个 人 防火 墙 

在 使 用 无 线 网 络 的 时 候 ,应 当 给 计算 机 安装 个 人 防火 墙 。 一 般 在 公共 场所 (如 提供 无 线 
上 网 服务 的 咖啡 店 、 书 店 、 麦 当 劳 等 ) ,用 户 不 能 确定 所 连接 的 网 络 是 否 受 到 其 他 防火 墙 的 保 
护 ,因此 用 户 需 安装 个 人 防火 墙 , 保 护 系统 不 受 外 界 网 络 的 攻击 。 即 使 所 处 网 络 有 防火 墙 ， 
用 户 也 需 谨 慎 , 务 必 限 制 其 他 用 户 访 问 机 密 文件 的 权限 ,使 用 强 密码 ,禁用 文件 和 文件 夹 共 
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享 功能 ,防范 可 能 是 来 自 共 享 网 络 上 其 他 计算 机 的 入 侵 。 

2. 更 改 网 络 接 入 的 用 户 名 和 密码 

目前 无 线 网 络 大 多 数 是 以 无 线路 由 器 作为 网 络 中 心 节点 ,因此 使 用 无 线 网 络 首先 要 改 
变 管理 员 的 用 户 名 和 密码 ,对 无 线路 由 器 进行 配置 。 大 多 数 家 庭 无 线路 由 器 都 有 一 个 基于 
Web 的 管理 员 接 口 ,对 内 部 网 络 默认 的 IP 地 址 几乎 总 是 192. 168. 0. 1 ,制造 商 在 设备 出 厂 
时 通常 将 用 户 名 和 密码 设置 为 admin 和 password 等 ,攻击 者 非常 容易 猜 出 用 户 名 和 密码 进 
行 攻击 。 因 此 ,用 户 首先 可 以 改变 内 部 的 王子 网 ,192. 168. zx. 工地 址 范围 仅 供 内 部 使 用 ,用 
户 可 以 将 0 一 254 中 的 一 个 随机 数 作为 第 3 个 八 位 ,给 攻击 者 增加 破解 难度 。 然 后 ,用 户 可 
以 重新 命名 管理 员 账 户 ,将 用 户 名 改 为 自己 独 有 的 ,并 选择 一 个 强 密码 ,这 样 密 码 将 不 容易 
被 攻击 者 猜 到 或 破解 。 

3. 隐藏 SSID 

服务 配置 标识 符 SSID 是 无 线路 由 器 的 标识 。 默 认 情 况 下 ,无 线路 由 器 播 出 的 信号 频 
率 是 大 约 每 秒 十 分 之 一 次 ,其 中 包含 SSID 信息 。 这 个 信号 能 够 由 无 线 设备 检测 到 并 提供 
其 需要 的 信息 ,这 些 信息 有 助 于 其 连接 到 网 络 。 在 一 个 区 域 中 如 果 存 在 多 个 无 线路 由 器 ,就 
会 出 现 多 个 信号 又 加 的 情况 。 此 时 用 户 可 以 通过 SSID 来 识别 想 要 加 入 的 无 线 网 络 ,这 是 
SSID 的 意义 所 在 。 不 过 任何 事物 都 有 两 面 性 ,SSID 在 为 用 户 提供 方便 的 同时 ,也 为 非 授权 
用 户 入 侵 网 络 提供 了 方便 。 非 授权 用 户 通 过 SSID, 可 以 知道 所 处 环境 中 无 线 网 络 的 状况 ， 
进而 尝试 和 人 侵 这 个 无 线 网 络 。 如 果 隐 藏 SSID, 即 不 将 SSID 值 进行 无 线 广播 ,这 样 非 授 权 用 
户 就 不 能 够 很 容易 地 发 现 无 线 网 络 状况 ,从 而 降低 了 无 线 网 络 被 非 授 权 用 户 攻 击 的 风险 。 
隐藏 SSID 之 后 会 对 合法 用 户 带 来 一 定 的 不 便 ,用 户 不 能 够 很 直观 地 接 入 需要 的 网 络 ; 另 
外 ,隐藏 SSID 也 不 能 够 完全 避免 非 授 权 用 户 的 攻击 。 因 为 常用 网 络 扫 描 软 件 , 都 具备 扫描 
无 线 网 络 的 能 力 ; 因此 ,隐藏 SSID 可 以 降低 网 络 风险 ,但 是 不 能 避免 网 络 风险 。 

4. MAC 地 址 过 滤 

可 通过 过 滤 无 线 设 备 的 MAC 地 址 来 防范 攻击 者 。 通 过 配置 可 以 实现 只 允许 授权 的 
MAC 地 址 访问 网 络 , 或 者 禁止 某 些 MAC 地 址 访问 网 络 。 将 授权 用 户 的 MAC 地 址 存储 在 
无 线路 由 器 中 ,只 允许 存储 在 无 线路 由 器 中 的 MAC 地 址 访问 无 线 网 络 。 只 要 用 户 保护 好 
自己 的 MAC 地 址 不 被 窃取 ,那么 利用 无 线路 由 器 的 MAC 地 址 过 滤 功 能 来 禁止 非 授权 用 
户 网 络 入 侵 就 是 可 靠 的 。 对 于 家 庭 用 户 来 说 ,利用 MAC 地 址 过 滤 功 能 ,可 以 确保 无 线 网 络 
安全 。 

以 上 是 一 些 基 本 的 网 络 安全 措施 ,可 以 用 于 家 庭 、 工 作 单位 和 公共 场所 使 用 的 无 线 网 
络 。 此 外 ,在 进行 登录 网 页 时 ,还 需要 注意 验证 热点 连接 ,使 用 加 密 和 密码 保护 数据 安全 。 
当 处 于 公共 无 线 网 络 范围 时 ,不 要 随意 浏览 网 页 ,可 以 进入 有 数字 签名 或 安全 认证 的 网 页 。 
如 果 须 要 更 强大 的 安全 保障 ,可 以 使 用 虚拟 专用 网 VPN。 对 于 攻击 者 而 言 , 即 使 截取 到 数 
据 包 ,得 到 的 也 是 被 加 密 的 乱码 信息 ,这 样 就 保障 了 用 户 信 息 的 安全 。 


12.3.3 无 线 城 域 网 的 安全 性 


无 线 城 域 网 最 初 的 标准 制定 是 面向 固定 无 线 宽带 接 入 的 ,在 这 样 的 应 用 场景 中 ,其 安全 
策略 并 不 十 分 复杂 ,由 于 它 不 涉及 终端 用 户 以 及 移动 漫游 切换 等 复杂 的 情景 ,因此 在 其 标准 
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中 的 安全 问题 也 就 没有 被 放 在 十 分 重要 的 位 置 上 。 

无 线 城 域 网 面临 着 无 线 局 域 网 中 同样 要 面临 的 安全 威胁 ,其 中 有 被 动 和 主动 的 攻击 、 基 
于 表 的 攻击 、 广 播 监 听 以 及 DoS 攻击 、 假 冒 接 入 点 等 攻击 方法 。 针 对 这 些 存 在 的 威胁 ,在 
IEEE 802. 16 提供 了 一 定 的 保护 功能 ,但 还 远 远 不 够 。 人 们 都 期 待 在 802. 16e 标准 里 对 其 
进行 完善 和 增强 。 

IEEE 802. 16 标准 又 称 为 WMAX(Worldwide Interoperability for Microwave Access) ,是 
一 种 为 企业 和 家 庭 用 户 提供 * 最 后 一 千 米 接 人 ”的 宽带 无 线 连接 方案 。IEEE 802. 16 不 仅 是 
无 线 城 域 网 的 标准 ,同时 也 是 继 TD-SCDMA 、WCDMA 和 CDMA2000 之 后 ,被 称 为 第 4 个 
3G 标准 的 标准 。 

IEEE 802. 16 标准 系列 到 目前 为 止 包括 IEEE 802. 16、IEEE 802. 16a、IEEE 802. 16c、 
IEEE 802. 16d\IEEE 802. 16e\IEEE 802. 16f 和 IEEE 802. 16g 七 个 标准 。 

根据 是 否 支 持 移动 特性 ,IEEE 802. 16 标准 系列 可 分 为 固定 宽带 无 线 接 入 空中 接口 标 
准 和 移动 宽带 无 线 接 人 空中 接口 标准 ,其 中 的 IEEE 802. 16 IEEE 802. 16a 和 IEEE 802. 16d 
属于 固定 无 线 接 入 空中 接口 标准 ,而 IEEE 802. 16e 属于 移动 宽带 无 线 接 入 空中 接口 标准 。 

1. 802. 16 标准 的 安全 性 

IEEE 802. 16 标准 定义 了 在 MAC 层 中 的 安全 子 层 , 通 过 采用 一 系列 安全 技术 来 提供 
安全 保障 功能 。 

(1) 通过 一 种 密 钥 管理 协议 来 控制 密 钥 的 分 发 和 管理 。 

(2) 在 密 钥 管理 协议 中 加 入 了 基于 数字 证 书 的 身份 认证 机 制 以 增强 对 接 人 SSCSubscriber 
Station ,定制 客户 基站 ) 的 身份 认证 。 

(3) 通过 对 网 络 上 的 服务 数据 流 进行 加 密 来 防止 对 相关 服务 进行 未 经 授权 地 访问 以 及 
保护 运营 者 服务 不 被 盗用 。 

由 于 IEEE 802.16 标准 针对 的 是 固定 的 无 线 宽带 接 和 人 ,因此 , 它 的 认证 相应 的 也 是 针 
对 固定 无 线 接 入 SS 的 认证 ,主要 是 通过 BS( 基 站 ) 对 SS 所 持 有 的 由 生产 厂商 所 签发 的 
X. 509 数字 证 书 进行 的 验证 。 

其 认证 信息 是 在 PKM( 保 密 密 钥 管理 ) 协 议 的 第 一 条 和 第 二 条 消息 里 发 送 的 ,通过 认证 
后 ,由 BS 使 用 SS 的 公 钥 加 密 AK. 并 将 其 发 送 给 SS。 后 面 协商 数据 加 密 密 钥 TEK 时 ,是 
使 用 由 AK 推演 出 来 的 KEK( 密 钥 加 密 密 钥 ) 来 进行 保护 的 ,由 AK 推演 出 来 的 HMAC _ 
KEY( 消 息 鉴 别 密 钥 ) 用 于 保证 管理 消息 的 完整 性 。 

在 IEEE 802. 16 标准 中 ,通信 数据 的 加 密使 用 的 是 DES 加 密 ,TEK 的 加 密使 用 的 是 三 
重 DES 加 密 , 而 HMAC 的 计算 使 用 的 是 基于 SHA-1(FIPS180-1) 的 HAMC (IETF RFC 
2104) 算 法 。 

IEEE 802. 16 标准 中 的 安全 部 分 定义 了 安全 关联 (SA) ,SA 在 BS 和 一 个 或 者 多 个 它 的 
客户 SS 之 间 共 享 ,SA 包含 了 在 IEEE 802. 16 网 络 中 安全 通信 所 需 的 安全 信息 。BS 向 每 
个 认证 通过 后 的 SS 提供 SAID( 安 全 关联 的 ID) ,SAID 所 指向 的 SA 里 包含 共享 的 密码 套 
件 ,也 可 以 包括 TEK 和 初始 化 向 量 (IV)。SA 中 具体 包含 什么 依赖 于 SA 的 密码 套件 。 并 
且 针 对 不 同 的 服务 有 不 同 的 SA ,如 基本 的 SA 静态 的 SA 和 动态 的 SA。 协议 是 通过 应 用 
SA 的 创建 和 映射 来 达到 对 连接 的 安全 保护 。 

另外 ,在 IEEE 802. 16 标准 中 ,在 每 个 具有 绑 定 关 系 的 SS 与 BS 上 可 同时 保存 两 个 激 
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活 的 AK 和 两 个 激活 TEK ,并且 ,它们 的 生存 周期 存在 着 重 侄 区域, 这 样 ,使 得 在 进行 密 钥 
更 新 交互 时 正常 的 通信 不 致 中 断 。 

IEEE 802. 16 标准 里 规定 了 使 用 证 书 进行 身份 验证 ,并 且 协 商 出 了 数据 加 密 密 钥 ,以 及 
密 钥 更 新 机 制 ,是 一 个 针对 固定 无 线 宽带 技术 的 相对 安全 并 且 相 对 完备 的 保密 方法 。 

2. 802. 16e 标准 


IEEE 802. 16e 属于 移动 宽带 无 线 接 入 空中 接口 标准 ,是 IEEE 802. 16 的 修正 版 ,依照 
IEEE 标准 802. 16a 和 802. 16e 进行 修改 。 通 过 充分 利用 无 线 媒介 固有 的 移动 性 ,这 一 标准 
可 以 扩大 宽带 无 线 访 问 解决 方案 的 市 场 , 能 够 弥补 超 高 数据 速率 无 线 局 域 网 与 超 高 移动 性 
蜂窝 系统 间 的 间隙 ,并 可 支持 针对 企业 和 消费 者 市 场 的 固定 和 移动 服务 。 它 通常 被 称 为 “ 移 
动 WiMAX”。IEEE 806. 16e 只 定义 了 空中 接口 程序 和 协议 ,所 以 可 能 还 需要 其 他 标准 一 
起 促进 全 系统 的 运作 。 

未 来 的 无 线 城 域 网 将 可 为 移动 的 终端 用 户 提供 服务 ,诸如 终端 用 户 的 接 入 认证 、 计 费 、 
网 内 网 际 的 漫游 切换、 针对 特定 用 户 的 特定 服务 等 ,在 这 样 的 情况 下 ,安全 已 成 为 骂 待 解决 
的 关键 问题 。 


12.3.4 无 线 广域网 的 安全 性 


IEEE 802. 20 是 WWAN 的 重要 标准 。IEEE 802. 20 工作 组 早 在 2002 年 就 已 成 立 , 经 
过 几 年 的 工作 ,其 需求 文件 已 经 基本 完成 。 在 需求 文件 中 ,达成 一 致 的 内 容 包括 工作 频段 、 
移动 速率 、 上 下 行 传输 速率 等 指标 。 但 由 于 部 分 企业 的 垄断 状态 导致 行业 不 满 ,IEEE 802. 20 
的 制定 工作 曾 被 叫 停 。 

IEEE 802. 20 标准 的 制定 速度 远 远 落 后 于 IEEE 802. 16e, 因 此 关于 它 的 安全 方面 的 讨 
论 还 不 是 很 多 。 但 是 ,IEEE 802. 20 和 IEEE 802. 16e 在 安全 应 用 上 应 该 具有 很 多 相似 性 。 
IEEE 802. 20 规范 只 针对 移动 的 终端 用 户 ,IEEE 802. 16e 是 对 固定 无 线 宽带 接 入 的 弥补 ,能 支 
持 移动 终端 用 户 。 因 此 ,IEEE 802. 20 规范 的 安全 策略 在 很 大 程度 上 可 以 借鉴 IEEE 802. 16e 
以 及 IEEE 802. 11i 里 已 经 成 熟 的 技术 ,并 根据 自己 的 特点 制定 自己 的 一 套 安全 解决 方案 。 

IEEE 802. 20 标准 在 物理 层 技 术 上 ,以 正 交 频 分 复 用 技术 和 多 输入 多 输出 技术 为 核心 ， 
充分 挖掘 时 域 \ 频 域 和 空间 域 的 资源 ,大 大 提高 了 系统 的 频谱 效率 。 在 设计 理念 上 ,基于 分 
组 数据 的 纯 IP 架构 适应 突 发 性 数据 业务 的 性 能 优 于 3G 技术 ,与 3. 5G 性 能 相当 。 在 实现 
和 部 署 成 本 上 也 具有 和 较 大 的 优势 。IEEE 802. 20 能 够 满足 无 线 通信 市 场 高 移动 性 和 高 吞吐 
量 的 需求 ,具有 性 能 好 ,效率 高 .成 本 低 、 部 署 灵 活 等 特点 。 

从 技术 上 讲 ,IEEE 802. 20 是 3G 和 IEEE 802. 16e 的 一 个 补充 。 从 经 济 可 行 性 考虑 ， 
目前 移动 运营 商 已 经 在 移动 通信 系统 投入 巨 资 ( 包 括 购买 牌照 .设备 .部 署 网 络 等 ) ,不 可 能 
放弃 现 有 投资 而 进入 制定 阶段 , 某 些 具体 细节 需要 工作 组 与 IEEE-SA 标准 委员 会 重新 部 署 
新 的 网 络 。 从 标准 的 制定 情况 看 ,IEEE 802. 20 和 IEEE 802. 16e 目前 正 处 于 准 组 织 协商 阶 
段 , 技 术 标 准 还 未 通过 。 

IEEE 802. 20 将 提供 一 个 基于 IP 的 全 移动 网 络 ,提供 高 速 移动 数据 接 人 。 其 目标 是 在 
高 速 列车 行使 环境 下 (时 速达 250km/h) , 仍 能 向 每 个 用 户 提 供 高 达 1Mbps 的 接 人 速率 ,并 
具有 永远 在 线 的 特点 。 向 用 户 提 供 的 服务 包括 浏览 网 页 .E-mail、 没 有 大 小 限制 的 文件 的 上 
传 和 下 载 、 流 媒体 、IP 多 播 、 远 程 信息 处 理 、 定 位 服务 、VPN (虚拟 专 网 ) 连 接 、 即 时 消息 和 多 
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人 在 线 的 游戏 。IEEE 802. 20 还 将 利用 VoIP 技术 向 用 户 提供 话音 服务 。IEEE 802. 20 的 
业务 定位 与 Beyond3G 相似 。 它 的 空中 接口 专门 针对 传送 IP 而 设计 ,从 而 具有 很 高 的 频谱 
利用 率 ,非常 适应 分 组 数据 业务 突 发 性 的 特点 。IEEE 802. 20 的 出 现 也 是 顺应 了 未 来 整个 
网 络 向 全 IP 网 络 过 渡 的 这 种 趋势 , 它 将 有 广阔 的 市 场 前 景 。 


12.4 关键 术语 


无 线 广域网 (Wireless Wide Area Network) 

无 线 城 域 网 (Wireless Metropolitan Area Network) 

无 线 局 域 网 (Wireless Local Area Network) 

无 线 个 体 区 域 网 (Wireless Personal Area Network) 

有 线 等 效 保密 协议 (Wired Equivalency Privacy) 

Wi-Fi 保护 访问 (Wi-Fi Protected Access) 

临时 密 钥 完整 性 协议 (Temporal Key Integrity Protocol, TKIP) 

计数 器 模式 和 密 文 分 组 链接 -消息 认证 码 协 议 (Counter CBC-MAC Protocol) 

无 线 局 域 网 认证 保密 基础 构架 (WLAN Authentication and Privacy Infrastructure) 
服务 配置 标识 符 (Service Set Identifier) 


12.5 习 题 12 


12.1 什么 是 无 线 网 络 ? 根据 网 络 覆盖 范围 .传输 速率 和 用 途 的 差异 ,无 线 网 络 可 以 分 
为 哪些 类 型 ? 

12.2 无 线 网 络 面临 的 独特 威胁 是 什么 ? 

12.3 为 了 保障 无 线 局 域 网 的 安全 ,常用 的 安全 措施 有 哪些 ? 

12.4 简 述 WPA 协议 实现 的 安全 策略 。 


参考 文献 


. William Stallings 著 . 密码 编码 学 与 网 络 安全 一 一 原理 与 实践 . 4 版 . 备 庆 树 ,王丽娜 , 传 建明 ,等 译 . 北 


京 : 电子 工业 出 版 社 ,2006. 


. 赖 溪 松 ,等 著 . 张 玉 清 , 肖 国 镇 改编 . 计算 机 密码 学 及 其 应 用 . 北京 : 国防 工业 出 版 社 ,2001. 
. 汉 登 国 . 计算 机 通信 网 络 安全 . 北京 : 清华 大 学 出 版 社 ,2001. 

. 卿 斯 汉 . 安全 协议 20 年 研究 进展 . 软件 学 报 ,2003 ,14(10): 1740 一 1752. 

. 范 红 , 冯 登 国 .安全 协议 理论 与 方法 . 北京: 科学 出 版 社 ,2003. 


卿 斯 汉 . 密码 学 与 计算 机 网 络 安 全 . 北京 : 清华 大 学 出 版 社 ,2000. 
M Wenbo. Modern Cryptography: Theory and Practice. 北京 : 电子 工业 出 版 社 ,2004. 


. D Chauml Blind Signature Systems. Proc CRYPTO'83. 1984 ,153 一 1561. 

. M Mambo,K Usuda,E Okamoto. Proxy Signatures: Delegation of the Power to Sign Messages. 

. IEICE Transactions Fundamentals. 1996,E79A(9).: 1338 一 1354. 

. G. Stoneburner. Underlying Technical Models for Information Technology Security, NIST Publication 


800-xx, Draft Version 0. 2,2001. 


. 洪 帆 , 崔 国 华 , 付 小 青 . 信息 安全 概论 .武汉 : 华中 科技 大 学 出 版 社 ,2005. 

. 胡 向 东 . 应 用 密码 学 教程 .北京 : 电子 工业 出 版 社 ,2005. 

. 杨波 . 现代 密码 学 . 北京: 清华 大 学 出 版 社 ,2003. 

，D. R. Stinson 著 . 密码 学 原理 与 实践 . 2 版 . 冯 登 国 译 . 北京 : 电子 工业 出 版 社 ,2003. 
. 关 振 胜 . 公 钥 基础 设施 PKI 及 其 应 用 . 北京 : 电子 工业 出 版 社 ,2007. 

. 王 昭 , 袁 春 .信息 安全 原理 与 应 用 . 北京 : 电子 工业 出 版 社 ,2010. 

. 赵 俊 阁 . 信息 安全 概论 . 北京: 国防 工业 出 版 社 ,2009. 

.Tony Bradley 著 . 计算 机 安全 精 要 . 罗 守 山 , 陈 萍 ,等 译 . 北京 : 科学 出 版 社 ,2008. 
.和 鲁 立 , 焚 涛 .计算 机 网 络 安全 .北京 : 机 械 工业 出 版 社 ,2011. 

. 熊 平 , 朱 天 清 .信息 安全 原理 及 应 用 .2 版 . 北京 : 清华 大 学 出 版 社 ,2012. 

. 刘 建 伟 , 王 育 民 . 网络 安全 一 一 技术 与 实践 .2 版 . 北京 : 清华 大 学 出 版 社 ,2011. 


